ThreatHunters detectam hackers chineses buscando ferramentas em forum
As operações APT chinesas têm um exército de programadores à sua disposição e uma série de ferramentas maliciosas avançadas.
As operações APT chinesas têm um exército de programadores à sua disposição e uma série de ferramentas maliciosas avançadas. Mas algumas de suas ferramentas de hacking mais importantes nem mesmo são seus próprios códigos proprietários. Assim como outros grupos de ameaças patrocinados pelo estado, eles também contam com software publicamente disponível ou de código aberto que podem abusar para seus próprios propósitos nefastos – chegando a monitorar fóruns de hackers para ver os últimos desenvolvimentos em código.
Muitas dessas ferramentas podem ser usadas para propósitos inocentes, mas nas mãos erradas, um programa de teste de caneta útil pode facilmente se tornar um auxiliar de hacking usado para espionar empresas, governos e outros alvos de interesse.
Mike McLellan, pesquisador sênior de segurança da Secureworks, conversou com a SC Media sobre a descoberta e investigação de uma recente campanha de ataque chinesa que revelou como os atores do Estado-nação aproveitarão qualquer código à sua disposição para atingir seus objetivos. McLellan também abordou como monitorar adversários enquanto buscam novas ferramentas pode evitar ataques futuros, se os desenvolvedores têm a responsabilidade moral de ser cautelosos ao liberar suas ferramentas e exploits e onde as atividades de hacking ofensivo da China estão em alta.
Aproveitando a inteligência obtida por meio de recentes compromissos de resposta a incidentes com clientes, a Secureworks encontrou evidências de hackers patrocinados pelo estado chinês adotando e abusando de ferramentas que foram lançadas por desenvolvedores externos operando em fóruns de hackers. Conte-me mais sobre esta investigação.
Recentemente, tivemos um pouco de sucesso rastreando algumas das ferramentas que foram desenvolvidas em fóruns de hackers chineses e, em seguida, vendo-as sendo usadas por grupos de ameaças apoiados pelo governo chinês. Nem todos são desenvolvidos internamente. Como a maioria das ameaças que rastreamos, muitas dessas ferramentas agora são de código aberto ou publicamente disponíveis, comercialmente disponíveis, seja o que for. É muito mais fácil para os grupos de ameaças apenas reaproveitar as coisas que já existem, e os grupos chineses não são diferentes em muitos aspectos. Portanto, isso tem sido muito interessante para nós acompanhar, especificamente coisas que estão sendo desenvolvidas em ambientes de língua chinesa e, em seguida, implementadas contra nossos clientes.
Fizemos um compromisso de resposta a incidentes com um cliente onde vimos o ator usando uma exploração específica contra um servidor Microsoft Exchange usando uma vulnerabilidade não corrigida. E quando examinamos os comandos que estavam sendo executados e o exploit usado, procuramos evidências desses comandos em outro lugar. Pesquisamos na Internet por qualquer um desses comandos, e os resultados que recebíamos vinham de fóruns em chinês onde se falava dessa exploração. E havia hackers ou pesquisadores falando sobre como poderiam usá-lo – da mesma forma que os pesquisadores fazem no Ocidente – mas a maioria das conversas sobre esse assunto em particular parecia ser em fóruns em chinês.
Isso sugeriu que esse ator, que pensávamos ser chinês, potencialmente obteve uma ferramenta de um desses fóruns e a usou contra um de nossos clientes.
E então, em uma instância separada, estávamos examinando um malware que descobrimos que usava uma maneira particularmente nova de se carregar: um PlugX [malware] que usava um VBScript para carregar. E, novamente, quando começamos a examinar essa técnica de carregamento, descobrimos que eles a discutiram em um fórum em chinês. E começamos a ver um padrão comum onde havia um número muito pequeno de pesquisadores que estavam basicamente desenvolvendo ferramentas – da mesma forma, novamente, que seus colegas ocidentais fazem. Havia grupos chineses que pegavam essas ferramentas e as usavam, às vezes em um ou dois dias [delas sendo disponibilizadas]. Portanto, [os grupos de ameaça estavam] incorporando-os rapidamente em seu conjunto de ferramentas e, em seguida, saindo e usando-os contra organizações nas quais estavam interessados.
E, obviamente, não temos evidências de que esses pesquisadores estejam de alguma forma ligados a essas operações. Suas ferramentas estão disponíveis para qualquer pessoa que queira baixá-las, mas claramente os grupos de ameaças chineses que estão ocupados monitorando as ferramentas que esses caras lançam e, então, procuram usá-las rapidamente.
De nossa perspectiva, se você puder monitorar o desenvolvimento dessa ferramenta e desenvolver proteções para ela assim que estiverem disponíveis, podemos chegar lá antes que alguns desses agentes de ameaças o façam e realmente ter proteções para os clientes antes de vê-la sendo usada.
Por que essa estratégia é benéfica para grupos de hackers patrocinados pelo estado chinês, em vez de depender principalmente de seus próprios conjuntos de ferramentas proprietárias, que podem ser desenvolvidos do zero e furtivamente? Não é uma vantagem para a comunidade de segurança que eles também tenham acesso a esses fóruns de hackers e conheçam essas ferramentas?
Este grande “modelo público-privado”, não creio, seja particularmente novo para a China. Eles sempre buscaram usar pessoas físicas e as ferramentas desenvolvidas por algumas dessas pessoas para seu próprio benefício.
É uma tendência que vimos em toda a linha, na verdade. Você olha para outras ferramentas publicamente disponíveis, como Cobalt Strike, por exemplo: Muitos agentes de ameaças estão usando essa ferramenta com sucesso contra alvos. Portanto, existe um modelo testado e comprovado para fazer isso. O motivo do sucesso é porque as organizações [não têm] instrumentos para detectá-lo ou os desenvolvedores dessas ferramentas as estão desenvolvendo para torná-las mais difíceis de detectar, porque esse é o modelo delas.
O segundo ponto é: por que não tentar? Mesmo que seja pego, você pode tentar novamente com uma ferramenta diferente. Não há custo para o grupo de ameaças no desenvolvimento dessa ferramenta, porque eles não tiveram que perder tempo escrevendo código, eles não precisam ter desenvolvedores internos para fazer esse tipo de coisa direito.
E o terceiro ponto é, mesmo que você seja pego, é muito difícil para nós descobrir quem foi, porque temos que confiar em outras coisas além das ferramentas. Enquanto nos bons velhos tempos, quando os chineses escreviam seu próprio malware, você podia rastrear grupos individuais com base nos conjuntos de ferramentas que eles usavam, porque você sabia que essa ferramenta era usada apenas por um determinado grupo. Assim que eles se tornam publicamente disponíveis, não podemos confiar que as próprias ferramentas sejam uma forma de atribuição, então, mesmo se você for pego, basta refazer, tentar novamente, e a vítima pode nunca descobrir quem era quem era tentando entrar, em primeiro lugar.
Além de desenvolver proteções para essas ferramentas de defesa de seus clientes, você compartilha esse tipo de descoberta com as autoridades policiais?
Teremos uma conversa com a polícia sobre o que vimos. Também precisamos ter cuidado, porque esses [desenvolvedores] são indivíduos que criaram ferramentas que são, em teoria, desenvolvidas para fins de teste de segurança, como Cobalt Strike e Mimikatz e todo esse tipo de coisa que você ouve falar mais comumente. Portanto, devemos ter muito cuidado para não sugerir a ninguém, incluindo os responsáveis pela aplicação da lei, que esses indivíduos estão envolvidos [com grupos de ameaça APT].
Claramente, se virmos essas ferramentas sendo usadas, passaremos essas informações, potencialmente, e cabe à aplicação da lei investigar os links lá. E eles são muito bons em encontrar os links existentes. Então, sim, trabalhamos com a aplicação da lei onde podemos ajudá-los a entender o impacto para nossos clientes – e obviamente, com o consentimento de nossos clientes. Mas deixamos a análise e avaliação para eles em termos de como eles fazem isso.
Existe uma obrigação moral por parte dos desenvolvedores dessas ferramentas de tomar certas precauções para que essas ferramentas não sejam tão rápida e facilmente abusadas por agentes mal-intencionados? Talvez em alguns casos as ferramentas não devam estar disponíveis para o público em geral?
Há um debate interessante na indústria no momento sobre a velocidade com que algumas dessas ferramentas são desenvolvidas e a velocidade com que novos exploits aparecem e são usados. Eles certamente começam a incorporar algumas dessas ferramentas mais rápido do que as organizações podem corrigir e verificar por si mesmas. É um debate interessante o desenvolvimento de algumas dessas ferramentas. Mas sim, eles são desenvolvidos principalmente para bons propósitos.
É realmente complicado. Acho que não há muito que eles possam fazer. Eles desenvolvem a ferramenta e, se escolherem torná-la publicamente disponível, a forma como as pessoas optam por usá-la depende delas. Não deve ser gratuito. O desenvolvimento dessas ferramentas deve ser feito com a intenção declarada, que é ajudar as organizações a compreender seus riscos e ser capazes de testar se seus controles são eficazes. E eu acho que essas ferramentas fornecem um propósito valioso realmente útil para isso, mas há uma pressa quase indecente com a qual os desenvolvedores às vezes tentam atualizar suas ferramentas e incorporar o maior e mais recente exploit. e sempre será mais rápido do que qualquer organização sensata pode se defender.
Portanto, acho que há uma responsabilidade potencial de pensar sobre a velocidade com que você está disponibilizando essas coisas. O ransomware que vimos, por exemplo, é um bom caso em que a barreira de entrada foi reduzida tanto por ferramentas disponíveis publicamente que não é muito difícil agora para alguém começar a criptografar sistemas na rede de alguém. Eles têm um monte de ferramentas da Internet e aprenderam a usá-las.
É um verdadeiro equilíbrio. Estou obviamente do lado da “equipe azul”, suponho … mas acho que a indústria precisa pensar sobre a melhor forma de entregar o efeito [das ferramentas], que é garantir que as organizações possam se proteger, sem entregando esse tipo de coisa aos bandidos, que depois as usam contra os clientes de outras organizações.
Em julho passado, funcionários do Departamento de Justiça dos EUA indiciaram dois cidadãos chineses acusados de hackear a pesquisa da Covid-19 . Você tem monitorado os esforços de espionagem cibernética da China em relação à pandemia?
Obviamente, temos monitorado essa situação cuidadosamente e conversado muito com nossos clientes farmacêuticos, e também com clientes que trabalham no desenvolvimento de políticas e nesse tipo de área, porque tudo isso está interligado. Esses setores sempre foram alvos de alta prioridade para os chineses desde pelo menos 2011.
Sempre houve um interesse em ser capaz de desenvolver e competir com as indústrias farmacêuticas estrangeiras, porque a China quer ser capaz de fazer seus próprios medicamentos para seu próprio povo e também competir internacionalmente.
Não vimos muito disso com a nossa própria base de clientes, mas obviamente ouvimos relatos sobre isso acontecendo em outros lugares … Portanto, não é uma surpresa. O que dissemos a um de nossos clientes do setor farmacêutico é: você não deveria se surpreender com os chineses fazendo isso. Mesmo que não tenhamos provado que eles estão fazendo isso com você no momento, você será potencialmente um alvo para eles. Portanto, é um desenvolvimento interessante, no qual ficaremos de olho.
Como você descreveria a natureza atual do pacto entre os EUA e a China no qual as nações concordaram em não roubar propriedade intelectual de indústrias privadas ?
Acho que a China foi prolífica no início de 2010 e estava roubando informações, à esquerda, à direita e ao centro, relacionadas principalmente ao seu plano de cinco anos para [cumprir] suas prioridades estratégicas como país. Com o acordo que o governo Obama intermediou, acho que é justo dizer que vimos uma queda na atividade e ela se tornou menos prolífica. Acho que provavelmente foi impulsionado principalmente pelo dano político que eles causaram ao serem pegos … Tivemos algumas das grandes acusações em torno da campanha APT1 e esse tipo de coisa que realmente destacou os volumes de hackeamento. E acho que o custo político para a China talvez tenha mudado um pouco ao longo dos anos … acho que ficou um pouco mais caro para eles. Então, sim, acho que vimos uma ligeira redução da atividade.
Provavelmente ainda não o vimos atingir os volumes em que estava. Acho que foi o apogeu do roubo de propriedade intelectual da China em particular. Tudo o que eu diria é, acho que nunca vimos uma cessação completa do hack de propriedade intelectual. Portanto, embora houvesse uma narrativa comum de que eles pararam de fazer espionagem comercial ou industrial, acho que nunca foi inteiramente assim. Acho que eles ainda estavam ativos em algumas dessas áreas … Em última análise, eles ainda vêem a espionagem como uma faceta da política externa e do desenvolvimento industrial. É uma ferramenta política para eles tanto quanto qualquer outra coisa e uma ferramenta econômica, então não está completamente parada.
Como as coisas estão mudando na administração atual, suponho que o tempo dirá um pouco. Certamente ainda estamos vendo evidências de que eles tentam comprometer nossos clientes.
Descreva a natureza da atividade de hackers patrocinada pelo estado chinês em 2020. Quais são as tendências atuais?
As prioridades industriais e econômicas de longo prazo ainda são um fator impulsionador para a China e sua espionagem – não apenas cibernética, mas operações combinadas entre humanos e cibernéticos – continuará a se concentrar nisso. Eu acho que eles também têm sido, e continuarão a ser, ativos em coleções de inteligência mais puras e conjuntos de dados em massa, como o hack OPM e Anthem e aqueles tipos de coisas que foram projetadas para reunir grandes quantidades de PII sobre indivíduos. Isso tem um valor de inteligência porque permite que você rastreie indivíduos e seja capaz de monitorar alvos de interesse, então esse foi um segundo impulso de atividade.
Um terceiro que estamos vendo não é especificamente focado nos EUA. Vemos muito interesse na região ao redor, então o Mar da China Meridional em particular e o Leste Asiático estão bastante ativos no momento. Muita atividade contra alguns dos países ao redor. E também os vemos continuar a reagir aos assuntos atuais – portanto, reação aos protestos em Hong Kong, onde o governo chinês vê o ciberespaço como uma ferramenta de governo, uma ferramenta para atingir seus objetivos.
A ameaça não é muito diferente do que era há alguns anos. Eles provavelmente desenvolveram um pouco suas técnicas e táticas. Certamente, vimos evidências deles perseguindo vulnerabilidades de uma maneira que talvez não fizessem tanto antes. Assim, a varredura em massa de certas vulnerabilidades para serem divulgadas publicamente e, em seguida, tentar usá-las para obter acesso. Mas acho que sua intenção estratégica segue amplamente esse tipo de linha.
Fonte: https://www.scmagazine.com/home/security-news/apts-cyberespionage/threat-hunters-watch-as-chinese-hackers-forage-forums-for-tools/
Foto: Frédéric Soltan / Corbis via Getty Images