Por anos, tem sido uma verdade inconveniente dentro da indústria de cibersegurança que os dispositivos de segurança de rede vendidos para proteger os clientes de espiões e cibercriminosos são, eles mesmos, frequentemente as máquinas que esses invasores hackeiam para acessar seus alvos. Novamente e novamente, vulnerabilidades em dispositivos de “perímetro” como firewalls e appliances VPN tornaram-se pontos de apoio para hackers sofisticados tentando invadir os sistemas que esses dispositivos foram projetados para proteger.
Agora, um fornecedor de cibersegurança está revelando quão intensamente – e por quanto tempo – ele lutou com um grupo de hackers que buscavam explorar seus produtos para seu próprio benefício. Por mais de cinco anos, a empresa de cibersegurança do Reino Unido, Sophos, envolveu-se em um jogo de gato e rato com um grupo de adversários vagamente conectados que visavam seus firewalls. A empresa chegou ao ponto de rastrear e monitorar os dispositivos específicos em que os hackers estavam testando suas técnicas de intrusão, vigiar os hackers no trabalho e, por fim, rastrear esse esforço de exploração focado e prolongado para uma única rede de pesquisadores de vulnerabilidades em Chengdu, na China.
Na quinta-feira, a Sophos detalhou essa guerra de meio século com esses hackers chineses em um relatório que descreve sua escalada de um para o outro. A empresa foi tão longe a ponto de instalar discretamente seus próprios “implantes” nos dispositivos Sophos dos hackers chineses para monitorar e preemptar suas tentativas de explorar seus firewalls. Os pesquisadores da Sophos até eventualmente obtiveram dos dispositivos de teste dos hackers um exemplar de malware “bootkit” projetado para se esconder de forma indetectável no código de baixo nível dos firewalls usado para inicializar os dispositivos, um truque que nunca foi visto na prática.
No processo, analistas da Sophos identificaram uma série de campanhas de hacking que haviam começado com a exploração em massa indiscriminada de seus produtos, mas eventualmente se tornaram mais furtivas e direcionadas, atingindo fornecedores e reguladores de energia nuclear, alvos militares incluindo um hospital militar, empresas de telecomunicações, agências governamentais e de inteligência, e o aeroporto de uma capital nacional. Enquanto a maioria dos alvos – que a Sophos se recusou a identificar mais detalhadamente – estava no Sul e Sudeste Asiático, um número menor estava na Europa, Oriente Médio e Estados Unidos.
O relatório da Sophos vincula essas múltiplas campanhas de hacking – com diferentes níveis de confiança – a grupos de hackers chineses patrocinados pelo estado, incluindo os conhecidos como APT41, APT31 e Volt Typhoon, este último sendo uma equipe especialmente agressiva que buscou a capacidade de perturbar a infraestrutura crítica nos EUA, incluindo as redes de energia. Mas o fio comum ao longo desses esforços de hackear os dispositivos da Sophos, diz a empresa, não é nenhum desses grupos de hackers identificados anteriormente, mas sim uma rede mais ampla de pesquisadores que parece ter desenvolvido técnicas de hackeo e as fornecido ao governo chinês. Os analistas da Sophos ligam o desenvolvimento da exploração a um instituto acadêmico e a um contratado, ambos em torno de Chengdu: Silenc Information Technology de Sichuan – uma empresa anteriormente ligada pela Meta aos esforços de desinformação do governo chinês – e a Universidade de Ciência e Tecnologia Eletrônica da China.
A Sophos diz que está contando essa história agora não apenas para compartilhar um vislumbre da cadeia de pesquisa e desenvolvimento de hackeamento da China, mas também para quebrar o silêncio desconfortável da indústria de cibersegurança em torno da questão maior das vulnerabilidades em dispositivos de segurança que servem como pontos de entrada para hackers. Apenas no último ano, por exemplo, falhas em produtos de segurança de outros fornecedores, incluindo Ivanti, Fortinet, Cisco e Palo Alto, foram exploradas em campanhas massivas de hackeamento ou intrusões direcionadas. “Isso está se tornando um pouco de um segredo aberto. As pessoas entendem que isso está acontecendo, mas infelizmente todos estão calados”, diz o diretor de segurança da informação da Sophos, Ross McKerchar, imitando o ato de fechar um zíper nos lábios. “Estamos adotando uma abordagem diferente, tentando ser muito transparentes, abordar isso de frente e enfrentar nosso adversário no campo de batalha”.
De Um Display Hackeado a Ondas de Intrusão em Massa
Como a Sophos conta, a longa batalha da empresa com os hackers chineses começou em 2018 com uma violação da própria Sophos. A empresa descobriu uma infecção por malware em um computador executando um monitor na filial da Índia da sua subsidiária Cyberoam, em Ahmedabad. O malware chamou a atenção da Sophos devido à sua varredura ruidosa da rede. Mas quando os analistas da empresa olharam mais de perto, descobriram que os hackers por trás dele já haviam comprometido outras máquinas na rede da Cyberoam com um rootkit mais sofisticado identificado como CloudSnooper. Em retrospecto, a empresa acredita que a invasão inicial foi projetada para obter inteligência sobre produtos da Sophos que possibilitariam ataques subsequentes aos seus clientes.
Então, na primavera de 2020, a Sophos começou a aprender sobre uma ampla campanha de infecções indiscriminadas de dezenas de milhares de firewalls ao redor do mundo em uma aparente tentativa de instalar um trojan chamado Asnarök e criar o que chama de “caixas de relé operacionais” ou ORBs – essencialmente um botnet de máquinas comprometidas que os hackers poderiam usar como pontos de lançamento para outras operações. A campanha estava surpreendentemente bem fornecida, explorando várias vulnerabilidades zero-day que os hackers pareciam ter descoberto nos appliances da Sophos. Apenas um bug nas tentativas de limpeza do malware em uma pequena fração das máquinas afetadas permitiu que a Sophos analisasse as intrusões e começasse a estudar os hackers visando seus produtos.
