Detecção de Ataques APT Patrocinados pela China: Resistindo à Sofisticação e Maturidade Crescente das Operações Ofensivas Patrocinadas pelo Estado Chinês com Base na Pesquisa do Insikt Group da Recorded Future
Índice:
Nos últimos cinco anos, as campanhas ofensivas apoiadas pela nação chinesa evoluíram para ameaças mais sofisticadas, furtivas e bem coordenadas em comparação com os anos anteriores. Esta transformação é caracterizada pela exploração extensiva de zero-days e vulnerabilidades conhecidas em instâncias de segurança e redes acessíveis publicamente. Além disso, há um foco mais forte em segurança operacional, visando reduzir os sinais de intrusão, que os atacantes conseguem ao utilizar um conjunto de técnicas de evasão de detecção de adversário apoiadas por LOLbins e redes de anonimização. A mudança nas operações ofensivas apoiadas pela nação chinesa em direção a maior furtividade e segurança operacional deu origem a um cenário de ameaças cibernéticas mais intrincado e exigente para organizações em múltiplos vetores industriais, incluindo o setor público, e a comunidade global de defensores cibernéticos.
Este artigo oferece uma visão de como a China se tornou a principal potência cibernética em escala global com base no relatório dedicado do Insikt Group da Recorded Future e fornece aos defensores algoritmos de detecção curados para defender proativamente contra ataques crescentes por atores maliciosos patrocinados pelo Estado ligados à China.
Detecção de Ataques APT Patrocinados pela Nação Chinesa Cobertos na Pesquisa da Recorded Future
Na última década, os atores patrocinados pelo estado chinês fizeram uma mudança significativa na sofisticação de suas táticas, técnicas e procedimentos ofensivos (TTPs). De acordo com a investigação do Insikt Group, os hackers chineses tendem a ser mais estratégicos e furtivos, dependendo de zero-days e vulnerabilidades conhecidas em dispositivos acessíveis publicamente. Além disso, eles aproveitam redes amplas e anônimas consistindo de dispositivos IoT comprometidos ou instalações de servidores virtuais privados junto com famílias open-source e exploits para passar despercebidos e evitar a identificação. Notavelmente, observou-se que atores afiliados à China usam inteligência compartilhada e infraestrutura ofensiva enquanto continuamente trocam conhecimentos e experiências.
Para agir mais rapidamente que os adversários, os defensores cibernéticos devem colaborar para melhor avaliação de riscos e priorização precisa, juntamente com estratégias relevantes de detecção e mitigação. Conte com a Plataforma SOC Prime para defesa cibernética coletiva para obter conteúdo de detecção curado abordando TTPs amplamente utilizados por grupos patrocinados pelo estado chinês.
Além disso, os profissionais de segurança podem navegar na Plataforma SOC Prime para obter uma pilha de detecção dedicada destinada a identificar exploits zero-day aproveitados por grupos apoiados pela China. Basta seguir o link abaixo e acessar uma lista extensa de regras compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake, mapeadas para o framework MITRE ATT&CK, e enriquecidas com CTI e metadados relevantes.
Para obter a lista completa de regras que abordam os TTPs descritos no relatório do Insikt Group da Recorded Future, clique no botão Explorar Detecções. Os profissionais de segurança podem obter inteligência aprofundada acompanhada por referências ATT&CK e links CTI para agilizar a investigação de ameaças e aumentar a produtividade do SOC.
Análise da Transformação do Ataque APT Patrocinado pela China com Base na Pesquisa do Insikt Group
A China tem conduzido campanhas maliciosas há anos, visando organizações nos EUA e globalmente em vários setores para coletar inteligência e dados sensíveis, com ataques destrutivos ligados a grupos APT patrocinados pelo Estado, como Mustang Panda or APT41.
O escopo ampliado dos ataques ligados à China e sua crescente sofisticação alimentam a necessidade de fortalecer a defesa cibernética coletiva para resistir às forças ofensivas coordenadas. No final da primavera de 2023, NSA, CISA e FBA, junto com outras autoridades dos EUA e internacionais, emitiram um alerta conjunto de segurança cibernética para aumentar a conscientização sobre um aumento na atividade maliciosa atribuída ao APT patrocinado pela nação chinesa conhecido como Volt Typhoon e visando a infraestrutura crítica dos EUA.
As operações habilitadas ciberneticamente e apoiadas pela nação chinesa são conduzidas principalmente pelas divisões militares, incluindo a Força de Apoio Estratégico do Exército de Libertação Popular (PLASSF) e o Ministério de Segurança do Estado (MSS). Nos últimos cinco anos, os grupos APT chineses têm tido como principal objetivo inteligência militar e política, além de desviar seu foco para o suporte aos objetivos econômicos estratégicos e de política, mirando ameaças internas percebidas, incluindo minorias étnicas e religiosas.
Os grupos de ameaça apoiados pela China mudaram significativamente seu foco para explorar vulnerabilidades em sistemas voltados para o público desde pelo menos 2021. Durante este período, mais de 85% das vulnerabilidades zero-day exploradas por grupos patrocinados pelo estado chinês foram encontradas em sistemas voltados para o público, incluindo firewalls, produtos de VPN empresarial, hipervisores, balanceadores de carga e produtos de segurança de e-mail. Entre as vulnerabilidades críticas exploradas por grupos suspeitos de serem apoiados pela nação chinesa estão CVE-2023-22515 no Confluence Data Center e Server, um RCE Zero-Day no Citrix NetScaler registrado como CVE-2023-3519, e CVE-2022-42475, uma vulnerabilidade zero-day nefasta no Fortinet FortiOS SSL-VPN. Dada a migração contínua das organizações para ambientes baseados em nuvem, é provável que haja um aumento no foco em atacar esses ambientes no futuro próximo.
Além de armarem zero-days e vulnerabilidades conhecidas, os coletivos de hackers patrocinados pelo estado chinês adotam maciçamente redes de anonimização em larga escala para reconhecimento, exploração e infraestrutura C2. A mudança para uma atividade de adversário mais sofisticada e furtiva envolve o uso de famílias de malware de código aberto e exploits, bem como amostras de malware personalizadas adaptadas para software voltado para o público para manter a persistência.
Como medidas de mitigação potenciais fornecidas pelos pesquisadores do Insikt Group da Recorded Future , recomanda-se que organizações e usuários individuais reduzam a exposição a vulnerabilidades com correções oportunas e priorizem continuamente as vulnerabilidades críticas, especificamente, falhas de segurança RCE em entidades voltadas para o público. Seguir as melhores práticas de segmentação de rede, habilitar a autenticação multifator e manter-se constantemente atualizado com as diretrizes sobre a mitigação de TTPs comuns relacionados à atividade APT apoiada pela China também é essencial para os defensores minimizarem os riscos de intrusões.
Em vista do aumento da sofisticação das capacidades dos adversários chineses, apoiados pelo governo do país nos últimos cinco anos, é muito provável que a China fortaleça sua posição no front cibernético ao aprimorar sua guerra cibernética e expandir o escopo dos ataques. Conte com a SOC Prime e alcance mais de 500+ algoritmos de detecção curados contra ataques APT atuais e emergentes de qualquer escopo e escala para continuamente reforçar sua resiliência cibernética.
