Você está visualizando atualmente Mandiant Alerta Que Defensores Devem Rethink Como Impedir Grupos de Ciberespionagem Chineses Usando Redes de Caixa de Rele Operacionais Como Serviços de Infraestrutura-Como-Serviço, Dispositivos e Roteadores Inteligentes Hacked.

Mandiant Alerta Que Defensores Devem Rethink Como Impedir Grupos de Ciberespionagem Chineses Usando Redes de Caixa de Rele Operacionais Como Serviços de Infraestrutura-Como-Serviço, Dispositivos e Roteadores Inteligentes Hacked.

Agentes de ameaças chineses têm estado silenciosamente e gradualmente revolucionando técnicas anti-análise, escondendo suas atividades maliciosas por trás de vastas redes globais de dispositivos proxy. Em questão: a rede de caixas de retransmissão operacional (ORB), uma vasta infraestrutura composta por servidores virtuais privados (VPS) e dispositivos inteligentes comprometidos e roteadores. Muitas vezes aludidos, mas raramente identificados como estruturas operacionais distintas, os ORBs existem há anos. No entanto, apenas desde 2020 eles se tornaram cada vez mais comuns, complexos e ativos, como mostram novas análises. Analistas da Mandiant alertam em um novo relatório publicado hoje que os defensores agora precisam modificar fundamentalmente as maneiras como têm rastreado e bloqueado ameaças há décadas. Na verdade, como os ORBs chineses se tornaram tão populares e eficazes em ocultar seus clientes, os defensores cibernéticos agora podem precisar abandonar a noção de IPs de atacantes como um indicador estático de comprometimento. Em seu relatório, a Mandiant argumenta que as infraestruturas de comando e controle devem ser consideradas como ameaças persistentes avançadas por si mesmas, com suas próprias táticas, técnicas e procedimentos em constante mudança. “O que você está lidando, como empresa, é a profissionalização da infraestrutura como serviço”, diz Michael Raggi, analista principal da Mandiant da Google Cloud. “Não é mais o caso de que, se você vê um ator de ameaça utilizando um único IP, podemos atribuir essa atividade a um único ator de ameaça. Em vez disso, tudo o que realmente podemos dizer é que esse ator de ameaça está usando esta rede de suporte neste período de tempo. Pode haver outros atores de APT utilizando essa rede ORB ao mesmo tempo, até mesmo egressando dos mesmos IPs de rede.” Os ORBs chineses são mantidos por empresas privadas ou elementos dentro do governo da República Popular da China. Cada um facilita não apenas um, mas vários clusters de ameaças a qualquer momento. Eles são compostos por cinco camadas no total: servidores chineses usados para gerenciar os nós na rede; VPSes (também baseados na China ou Hong Kong) a partir dos quais os atacantes se autenticam na rede e distribuem o tráfego; nós de travessia: a grande maioria dos nós na rede; nós de saída, que ligam o ORB e os ambientes da vítima. Os ORBs podem ser ainda classificados em dois grupos, de acordo com a Mandiant: provisionados, onde os nós de travessia são VPSs alugados comercialmente e não provisionados, construídos em roteadores e dispositivos IoT comprometidos e fora de operação. Os ORBs também podem ser um híbrido dos dois grupos. Uma ampla gama de atores de ameaças foi observada utilizando cada uma dessas formas diferentes de ORBs, de acordo com a Mandiant. Provisionados ou não, os nós de travessia e de saída são agregados em massa ao redor do mundo. O tamanho e alcance dessas redes – frequentemente com centenas de milhares de nós – proporciona uma grande cobertura, forçando os defensores a navegar por uma espessa névoa ao tentar atribuir e aprender mais sobre os atacantes. A dispersão geográfica dos ORBs também traz benefícios adicionais, reduzindo a exposição e dependência da infraestrutura de qualquer nação e permitindo que hackers na China contornem restrições geográficas ou simplesmente pareçam menos suspeitos ao se conectar a alvos de sua própria região. Mais importante de tudo – mais do que seu tipo, volume e alcance – é que os nós ORB têm uma vida curta. Novos dispositivos geralmente são trocados a cada mês ou alguns meses, e os provedores de rede competem pela rapidez com que renovam seus ativos. A ideia é evitar que os defensores associem IPs aos usuários por longos períodos de tempo. No final de tudo isso, você obtém algo como ORB2 Florahox ou ORB3 Spacehop. O primeiro, uma rede híbrida composta por múltiplos sub-redes que usa vários payloads para recrutar e organizar roteadores Cisco, ASUS e outros populares, no passado foi aproveitado pelo APT 31 (também conhecido como Zirconium), entre outros grupos. O último, um ORB mais plano e provisionado, está ativo desde pelo menos 2019 e foi usado em campanhas afetando organizações na América do Norte, Europa e Oriente Médio. Por exemplo, o APT 5 da China utilizou o Spacehop como parte de uma campanha de destaque em 2022 visando dispositivos Citrix ADC e Gateway. Ao longo de toda a história cibernética até este ponto, as organizações usaram firewalls para bloquear os endereços IP dos atacantes. Agora que os atacantes têm acesso a centenas de milhares de IPs em constante mudança ao mesmo tempo, todo o exercício é inútil, de acordo com a Mandiant. Agora as organizações precisam lidar com os ORBs como entidades distintas e dinâmicas, dignas de análise e monitoramento consistente como os atacantes que os utilizam. “Em vez de esperar para ser reativo ou responsivo para bloquear cada IP como um indicador de comprometimento”, sugere Raggi, “você está tentando analisar os padrões de infraestrutura que estão registrando. Você está olhando: Que tipos de roteadores eles estão comprometendo? De que ports e serviços vejo que estão partindo? Você também deve observar certos padrões que existem com certificados SSL ou certificados SSH, para ter um perfil de atividade para procurar.” Ele acrescenta: “Ao se familiarizar com uma rede ORB como uma entidade independente, você pode criar assinaturas baseadas em comportamento que são menos rígidas do que os indicadores de comprometimento estáticos.”