Por anos, tem sido uma verdade inconveniente dentro da indústria de cibersegurança que os dispositivos de segurança de rede vendidos para proteger os clientes de espionagem e criminosos cibernéticos são, muitas vezes, as máquinas que esses invasores hackeiam para obter acesso aos seus alvos. Vez após outra, vulnerabilidades em dispositivos “perimetrais” como firewalls e dispositivos VPN se tornaram pontos de apoio para hackers sofisticados que tentam invadir os sistemas que esses dispositivos foram projetados para proteger.
Agora, um fornecedor de cibersegurança está revelando o quão intensamente – e por quanto tempo – lutou contra um grupo de hackers que buscaram explorar seus produtos em benefício próprio. Por mais de cinco anos, a empresa de cibersegurança britânica Sophos travou uma batalha de gato e rato com um grupo de adversários pouco conectados que visavam seus firewalls. A empresa chegou ao ponto de rastrear e monitorar os dispositivos específicos nos quais os hackers estavam testando suas técnicas de invasão, vigiar os hackers em ação e, por fim, rastrear esse esforço de exploração focado e prolongado até uma única rede de pesquisadores de vulnerabilidades em Chengdu, China.
Na quinta-feira, a Sophos relatou essa guerra de meio-década com esses hackers chineses em um relatório que detalha sua escalada de ações recíprocas. A empresa chegou ao ponto de instalar discretamente seus próprios “implantes” nos dispositivos Sophos dos hackers chineses para monitorar e prevenir suas tentativas de explorar seus firewalls. Os pesquisadores da Sophos até conseguiram, eventualmente, obter dos testes dos hackers um exemplar de malware “bootkit” projetado para se esconder de forma indetectável no código de baixo nível dos firewalls usado para iniciar os dispositivos, um truque que nunca foi visto na natureza.
No processo, os analistas da Sophos identificaram uma série de campanhas de hacking que começaram com a exploração em massa indiscriminada de seus produtos, mas que eventualmente se tornaram mais furtivas e direcionadas, atingindo fornecedores e reguladores de energia nuclear, alvos militares, incluindo um hospital militar, telecomunicações, governo e agências de inteligência, e o aeroporto de uma capital nacional. Embora a maioria dos alvos – que a Sophos se recusou a identificar mais detalhadamente – estivesse no Sul e Sudeste da Ásia, um número menor estava na Europa, no Oriente Médio e nos Estados Unidos.
O relatório da Sophos vincula essas múltiplas campanhas de hacking – com diferentes níveis de confiança – a grupos de hackers chineses patrocinados pelo estado, incluindo aqueles conhecidos como APT41, APT31 e Volt Typhoon, este último sendo um time particularmente agressivo que buscou a capacidade de perturbar a infraestrutura crítica dos EUA, incluindo redes elétricas. Mas o fio condutor comum ao longo desses esforços de hackear os dispositivos da Sophos, segundo a empresa, não é nenhum desses grupos de hackers previamente identificados, mas sim uma rede mais ampla de pesquisadores que parece ter desenvolvido técnicas de hacking e as fornecido ao governo chinês. Os analistas da Sophos ligam esse desenvolvimento de exploração a um instituto acadêmico e a um contratado, ambos em torno de Chengdu: Sichuan Silence Information Technology – uma empresa anteriormente ligada pela Meta a esforços de desinformação estatais chineses – e a Universidade de Eletrônica e Tecnologia da China.
A Sophos diz que está contando essa história agora não apenas para compartilhar um vislumbre do pipeline chinês de pesquisa e desenvolvimento de hacking, mas também para quebrar o silêncio constrangedor da indústria de cibersegurança em torno da questão maior das vulnerabilidades em dispositivos de segurança que servem como pontos de entrada para hackers. Apenas no último ano, por exemplo, falhas em produtos de segurança de outros fornecedores, incluindo Ivanti, Fortinet, Cisco e Palo Alto, foram exploradas em campanhas massivas de hacking ou intrusões direcionadas. “Isso está se tornando um segredo aberto. As pessoas entendem que isso está acontecendo, mas infelizmente todos estão calados,” diz Ross McKerchar, diretor de segurança da informação da Sophos, fazendo um gesto de fechar um zíper nos lábios. “Estamos adotando uma abordagem diferente, tentando ser muito transparentes, abordar isso de frente e enfrentar nosso adversário no campo de batalha.” De um Display Hackeado a Ondas de Intrusão em Massa Como a Sophos conta, a batalha de longa data da empresa com os hackers chineses começou em 2018 com uma violação da própria Sophos. A empresa descobriu uma infecção por malware em um computador executando um display na filial de sua subsidiária Cyberoam baseada na Índia, em Ahmedabad. O malware chamou a atenção da Sophos devido à sua varredura ruidosa da rede. Mas quando os analistas da empresa olharam mais de perto, descobriram que os hackers por trás dele já haviam comprometido outras máquinas na rede da Cyberoam com um rootkit mais sofisticado
