Por anos, tem sido uma verdade inconveniente dentro da indústria de cibersegurança que os dispositivos de segurança de rede vendidos para proteger os clientes de espiões e cibercriminosos são, eles próprios, muitas vezes as máquinas que esses intrusos hackeiam para ganhar acesso aos seus alvos. Repetidamente, vulnerabilidades em dispositivos de “perímetro” como firewalls e aparelhos de VPN se tornaram pontos de apoio para hackers sofisticados tentando invadir os próprios sistemas que esses aparelhos foram projetados para proteger.
Agora, um fornecedor de cibersegurança está revelando quão intensamente—e por quanto tempo—ele lutou contra um grupo de hackers que buscou explorar seus produtos para seu próprio benefício. Por mais de cinco anos, a empresa britânica de cibersegurança Sophos se envolveu em um jogo de gato e rato com uma equipe de adversários vagamente conectados que atacaram seus firewalls. A empresa chegou ao ponto de rastrear e monitorar os dispositivos específicos nos quais os hackers estavam testando suas técnicas de intrusão, vigiar os hackers em ação e, finalmente, rastrear esse esforço de exploração focado, que durou anos, até uma única rede de pesquisadores de vulnerabilidade em Chengdu, China.
Na quinta-feira, a Sophos documentou essa guerra de meio século com os hackers chineses em um relatório que detalha sua escalada de provocações. A empresa chegou a instalar discretamente seus próprios “implantes” nos dispositivos Sophos dos hackers para monitorar e prevenir suas tentativas de explorar seus firewalls. Os pesquisadores da Sophos até eventualmente obtiveram das máquinas de teste dos hackers uma amostra de malware “bootkit” projetada para se esconder de maneira indetectável no código de baixo nível dos firewalls usado para iniciar os dispositivos, um truque que nunca foi visto na natureza.
No processo, os analistas da Sophos identificaram uma série de campanhas de hacking que começaram com uma exploração em massa indiscriminada de seus produtos, mas eventualmente se tornaram mais furtivas e direcionadas, atingindo fornecedores e reguladores de energia nuclear, alvos militares, incluindo um hospital militar, telecomunicações, agências governamentais e de inteligência, e o aeroporto de uma capital nacional. Embora a maioria dos alvos—que a Sophos se recusou a identificar em maior detalhe—estivesse no Sul e Sudeste da Ásia, um número menor estava na Europa, Oriente Médio e nos Estados Unidos.
O relatório da Sophos amarra essas múltiplas campanhas de hacking—com diversos níveis de confiança—a grupos de hackers patrocinados pelo estado chinês, incluindo aqueles conhecidos como APT41, APT31, e Volt Typhoon, este último que é uma equipe particularmente agressiva que buscou a capacidade de interromper infraestruturas críticas nos EUA, incluindo redes elétricas. Mas o fio comum ao longo desses esforços para hackear os dispositivos da Sophos, diz a empresa, não é um desses grupos de hackers previamente identificados, mas sim uma rede mais ampla de pesquisadores que parece ter desenvolvido técnicas de hacking e as fornecido ao governo chinês. Os analistas da Sophos ligam esse desenvolvimento de exploração a um instituto acadêmico e um contratante, ambos em torno de Chengdu: Sichuan Silence Information Technology—uma empresa anteriormente ligada pela Meta a esforços de desinformação patrocinados pelo estado chinês—e a Universidade de Ciência e Tecnologia Eletrônica da China.
A Sophos diz que está contando essa história agora não apenas para compartilhar um vislumbre do pipeline de pesquisa e desenvolvimento de hacking da China, mas também para quebrar o silêncio constrangedor da indústria de cibersegurança em torno da questão maior das vulnerabilidades em aparelhos de segurança que servem como pontos de entrada para hackers. Apenas no último ano, por exemplo, falhas em produtos de segurança de outros fornecedores, incluindo Avanti, Fortinet, Cisco e Palo Alto, foram todas exploradas em campanhas de hacking em massa ou campanhas de intrusão direcionadas. “Isso está se tornando um pouco um segredo aberto. As pessoas entendem que isso está acontecendo, mas infelizmente todos estão calados”, diz Ross McKerchar, diretor de segurança da informação da Sophos, imitando o gesto de fechar um zíper sobre os lábios. “Estamos adotando uma abordagem diferente, tentando ser muito transparentes, para enfrentar isso de frente e encontrar nosso adversário no campo de batalha.”
De Um Display Hackeado a Ondas de Intrusão em Massa
Como a Sophos conta, a longa batalha da empresa com os hackers chineses começou em 2018 com uma violação na própria Sophos. A empresa descobriu uma infecção de malware em um computador que operava uma tela de exibição no escritório de Ahmedabad de sua subsidiária Cyberoam, baseada na Índia. O malware chamou a atenção da Sophos devido ao seu escaneamento barulhento da rede. Mas quando os analistas da empresa olharam mais de perto, descobriram que os hackers por trás dele já haviam comprometido outras máquinas na rede Cyberoam com um rootkit mais sofisticado que identificaram como CloudSnooper. Em retrospecto, a empresa acredita que essa intrusão inicial foi projetada para obter inteligência sobre os produtos da Sophos que possibilitariam ataques subsequentes aos seus clientes.
Então, na primavera de 2020, a Sophos começou a aprender sobre uma ampla campanha de infecções indiscriminadas de dezenas de milhares de firewalls ao redor do mundo em uma aparente tentativa de instalar um trojan chamado Asnarök e criar o que chama de “caixas de retransmissão operacionais” ou ORBs—essencialmente um botnet de máquinas comprometidas que os hackers poderiam usar como pontos de partida para outras operações. A campanha foi surpreendentemente bem equipada, explorando várias vulnerabilidades zero-day que os hackers pareciam ter descoberto nos aparelhos da Sophos. Apenas um bug nas tentativas de limpeza do malware em uma pequena fração das máquinas afetadas permitiu que a Sophos analisasse as intrusões e começasse a estudar os hackers que visavam seus produtos.