Suspeita-se que hackers associados à China estejam por trás dos ataques cibernéticos ArcaneDoor, direcionados a dispositivos de rede.

Uma recente campanha de espionagem cibernética que visava dispositivos de rede periférica de diversos fabricantes, incluindo a Cisco, pode ter sido conduzida por entidades associadas à China, segundo novos dados revelados pela Censys, uma empresa de gerenciamento de superfície de ataque.

A operação, denominada ArcaneDoor, teria se iniciado aproximadamente em julho de 2023, com o primeiro ataque confirmado contra um alvo não identificado detectado no começo de janeiro de 2024.

Ataques a china

Os ataques direcionados foram orquestrados por um suspeito sofisticado, patrocinado pelo Estado, anteriormente não registrado, rastreado como UAT4356 (também conhecido como Storm-1849). Esses ataques envolveram a implantação de dois malwares personalizados, chamados Line Runner e Line Dancer.

Ainda não se descobriu o método inicial de acesso usado para facilitar as invasões. No entanto, observou-se que o adversário aproveitou duas vulnerabilidades, agora corrigidas, nos Cisco Adaptive Security Appliances ( CVE-2024-20353 e CVE-2024-20359 ) para manter a persistência do Line Runner.

A análise dos dados de telemetria coletados durante a investigação revelou que o agente da ameaça demonstrou interesse nos servidores Microsoft Exchange e nos dispositivos de rede de outros fabricantes, conforme informado pela Talos no mês passado.

A Censys, após uma análise mais aprofundada dos endereços IP sob controle dos atores, indicou que os ataques sugerem a possível participação de um agente de ameaça sediado na China.

Essa suposição se baseia na constatação de que quatro dos cinco servidores online que exibem o certificado SSL, identificado como ligado à infraestrutura dos invasores, estão associados aos sistemas autônomos (AS) Tencent e ChinaNet.

Adicionalmente, dentre os endereços IP administrados pelos atores da ameaça, encontra-se um servidor localizado em Paris (212.193.2[.]48), cujo assunto e emissor são definidos como “Gozargah”. Isso provavelmente faz referência a uma conta no GitHub que hospeda uma ferramenta anti-censura chamada Marzban.

Por sua vez, o software é “impulsionado” por outro projeto de código aberto denominado Xray, que mantém um site redigido em chinês.

Isso sugere que “vários desses servidores executavam serviços ligados a softwares anti-censura, possivelmente com o objetivo de burlar o Grande Firewall”, e que “uma quantidade expressiva desses servidores está localizada em destacadas redes chinesas”. Isso leva a crer que o ArcaneDoor poderia ser uma operação de um agente chinês, conforme teorizado pela Censys.

Nos últimos anos, atores estatais associados à China têm cada vez mais direcionado seus ataques a dispositivos de rede periférica, explorando vulnerabilidades de dia zero em empresas como Barracuda Networks, Fortinet, Ivanti e VMware. O objetivo é infiltrar-se em alvos de interesse e instalar malwares para garantir um acesso secreto e persistente.

Este avanço acontece justamente quando a Sekoia, uma empresa francesa de segurança cibernética, anunciou que conseguiu eliminar um servidor de comando e controle (C2) associado ao trojan PlugX em setembro de 2023. Para isso, a empresa desembolsou apenas US$ 7 para adquirir o endereço IP ligado a uma variante do malware, capaz de se propagar de maneira semelhante a um worm através de unidades flash comprometidas.

Um monitoramento mais detalhado do endereço IP oculto (45.142.166[.]112) revelou a presença do worm em mais de 170 países, afetando 2,49 milhões de endereços IP únicos ao longo de seis meses. A maioria das infecções foi identificada na Nigéria, Índia, China, Irão, Indonésia, Reino Unido, Iraque, EUA, Paquistão e Etiópia.

“Muitos países, com exceção da Índia, participam da Iniciativa Cinturão e Rota da China e, na maioria deles, há significativos investimentos chineses em infraestrutura”, afirmou a Sekoia. “Vários dos países afetados estão situados em regiões de importância estratégica para a segurança da Iniciativa Cinturão e Rota.”

“Este worm foi projetado para coletar informações em diversos países sobre as preocupações estratégicas e de segurança relacionadas à Iniciativa Cinturão e Rota, principalmente em seus aspectos marítimos e econômicos.”