Por Nathalia Ordonio Magalhaes Palmeira
A CISA liberou um alerta sobre o grupo APT40, ativo há mais de 10 anos e que já foi responsável por vários ataques de espionagem. Neste post, reuni informações sobre métodos de ataque e mitigação, a fim de aumentar o nível de proteção e detecção de possíveis ataques.
Overview: Grupo APT40
APT40 é um grupo que está localizado Haikou, província de Hainan, República Popular da China, e está ativo desde pelo menos 2009, em apoio ao esforço de modernização naval da China. Tem como alvo organizações governamentais, empresas e universidades em uma ampla gama de indústrias, incluindo biomédica, robótica e pesquisa marítima — nos Estados Unidos, Canadá, Europa, Oriente Médio e área do Mar da China Meridional, bem como indústrias incluídas na Iniciativa Cinturão e Rota da China.
A FireEye acredita que o APT40 é uma operação de espionagem cibernética chinesa patrocinada pelo estado, pois os alvos do grupo são consistentes com os interesses do estado chinês e há vários artefatos técnicos indicando que o grupo está baseado na China. A análise dos tempos operacionais das atividades do grupo indica que ele provavelmente está centrado no Horário Padrão da China (UTC +8). Além disso, vários domínios de comando e controle (C2) APT40 foram inicialmente registrados por revendedores de domínio com base na China e tinham registros Whois com informações de localização na China, sugerindo um processo de aquisição de infraestrutura com base na China.
Além disso, o APT40 também usou vários endereços de IP localizados na China para conduzir suas operações. Em um caso, um arquivo de log recuperado de um servidor indexado aberto revelou que um endereço IP 112.66.188.28 localizado em Hainan, China, havia sido usado para administrar o comando e controle que estava se comunicando com malware nas máquinas das vítimas. Todos os logins para este C2 vieram de computadores configurados com as configurações do idioma chinês.
Adicionalmente, um grupo autodenominado Intrusion Truth, um grupo que realiza doxing¹ de hackers chineses, publicou em seu blog informações que denotam a origem do grupo em Hainan. Segundo eles, “os grupos APT na China têm um projeto comum: hackers contratados e especialistas, empresas de fachada e um oficial de inteligência. Sabemos que várias áreas da China têm, cada uma, seu próprio APT”. Eles afirmam ter identificado 13 empresas diferentes (de fachada) com anúncios de emprego idênticos, detalhes de contato, localização de escritórios, recrutando pessoas com habilidades de hacking ofensivo. “Embora tenha sido difícil encontrar pessoas que trabalhem para essas empresas, identificamos vários indivíduos e concluímos que essa rede de empresas era na verdade APT40”, revelam o grupo.
O departamento de Justiça dos Estados Unidos publicou, no dia 19 de julho de 2021, uma acusação contra 4 indivíduos que o país acredita fazer parte do APT40. Segundo o documento, o grupo costumava usar serviços de anonimato, como o The Onion Router (TOR), para acessar malware nas redes das vítimas e gerenciar sua infraestrutura, incluindo servidores, domínios e contas de e-mail. O grupo ainda tentou obscurecer suas atividades de hacking por meio de outros serviços. Por exemplo, o grupo usou o GitHub para armazenar malware e dados roubados, que foram ocultados por meio de esteganografia. Também usou chaves da Interface de Programação de Aplicativo (API) do Dropbox em comandos para fazer upload de dados roubados diretamente para contas do Dropbox controladas pelo grupo, para fazer parecer aos defensores da rede que tal exfiltração de dados era um uso legítimo do serviço Dropbox por um funcionário.
- ¹ doxing: é a ação de revelar informações que identificam alguém na Internet, como nome verdadeiro, endereços, telefones, dados financeiros e outras informações
pessoais. Essas informações são então publicamente disponibilizadas na Internet, para conhecimento geral e sem nenhuma autorização da vítima.
Comprometimento inicial
O APT40 foi observado utilizando uma variedade de técnicas para comprometimento inicial, incluindo exploração de servidor web, campanhas de phishing entregando backdoors personalizados e disponíveis publicamente e comprometimentos estratégicos.
Nos ataques de phishing, o grupo normalmente se apresenta como um indivíduo que provavelmente é do interesse da vítima para enviar e-mails infectados. Isso inclui se passar por um jornalista, indivíduo de uma publicação comercial, alguém de uma organização militar ou organização não governamental (ONG) relevante. Em alguns casos, o grupo usou endereços de e-mail previamente comprometidos para enviar e-mails de spear-phishing, que normalmente utilizam anexos maliciosos, embora links do Google Drive também tenham sido reportados. O grupo também faz uso de exploits em suas operações de phishing, muitas vezes tirando vantagem de vulnerabilidades poucos dias após suas divulgações.
APT40 foi observado usando pelo menos malwares de 51 famílias de códigos diferentes. Destes, 37 não são públicos. Pelo menos sete dessas ferramentas não públicas (BADSIGN, FIELDGOAL, FINDLOCK, PHOTO, SCANBOX, SOGU e WIDETONE) são compartilhados com outros grupos suspeitos de conexão com a China.
Estabelecimento de acesso contínuo
O APT40 usa uma variedade de malware e ferramentas para estabelecer seu acesso, muitos dos quais estão disponíveis publicamente ou são usados por outros grupos de ameaças. Em alguns casos, o grupo usou executáveis com certificados de assinatura de código para evitar a sua detecção.
- Backdoors são utilizados no primeiro estágio, como AIRBREAK, FRESHAIR e BEACON, e são usados antes de baixar outros pyaloads;
- PHOTO, BADFLICK e CHINA CHOPPER estão entre os backdoors mais frequentemente observados usadas pelo APT40;
- O grupo frequentemente tem como alvo as credenciais de VPN e desktop remoto para estabelecer uma posição segura no sistema da vítima.
Escalação de Privilégios
O APT40 usa uma combinação de ferramentas de coleta de credenciais personalizadas e disponíveis publicamente para escalar privilégios e conseguir hashes de senha. O grupo também usa utilitários personalizados de roubo de credenciais, como o HOMEFRY, um dumper/cracker de senha usado junto com os backdoors AIRBREAK e BADFLICK. Além disso, acredita-se que o utilitário ProcDump do Windows Sysinternals e o Windows Credential Editor (WCE) também sejam usados durante as intrusões.
Reconhecimento Interno
O uso de credenciais comprometidas para fazer login em outros sistemas faz parte da realização do reconhecimento. O grupo também se aproveita de RDP, SSH e softwares legítimo presentes no ambiente da vítima, uma variedade de recursos nativos do Windows, ferramentas disponíveis publicamente, bem como scripts personalizados para facilitar o reconhecimento interno também estão presentes nessa fase.
- O APT40 usou o MURKYSHELL em uma organização para fazer a varredura de endereços IP e conduzir a enumeração da rede;
- O APT40 frequentemente usa comandos nativos do Windows, como exe, para realizar o reconhecimento interno do ambiente da vítima;
- Os web shells são amplamente utilizados em quase todos os estágios do ciclo de vida do ataque. Os servidores da web internos muitas vezes não são configurados com os mesmos controles de segurança que os servidores externos voltados para o público, tornando-os mais vulneráveis à exploração por grupos como o APT40, que atacam de forma semelhante.
Movimento Lateral
O APT40 usa muitos métodos para movimento lateral em um ambiente, incluindo scripts personalizados, web shells e ferramentas de tunelamento como Remote Desktop Protocol (RDP). Para cada novo sistema comprometido, o grupo geralmente executa malware, realiza reconhecimento adicional e rouba dados.
- Eles também usam utilitários nativos do Windows, como exe (um agendador de tarefas) e net.exe (uma ferramenta de gerenciamento de recursos de rede) para movimento lateral;
- Embora o MURKYTOP seja principalmente uma ferramenta de reconhecimento de linha de comando, ele também pode ser usado para movimento lateral;
- O APT40 também usa ferramentas de força bruta disponíveis publicamente e um utilitário personalizado chamado DISHCLOTH para atacar diferentes protocolos e serviços.
Garantia de Presença
O APT40 usa principalmente backdoors, incluindo web shells, para manter a presença dentro do ambiente da vítima. Essas ferramentas permitem o controle contínuo dos principais sistemas na rede de destino.
- O APT40 prefere fortemente os web shells para manter a presença, especialmente ferramentas disponíveis publicamente;
- As ferramentas usadas durante a fase “Estabelecimento de acesso contínuo” também continuam a ser usadas na presente fase; isso inclui AIRBREAK e PHOTO;
- Algumas ferramentas de malware utilizadas pelo grupo podem escapar da detecção típica, aproveitando-se de sites legítimos, como GitHub, Google e Pastebin para comunicações C2 iniciais;
- As portas TCP comuns 80 e 443 são usadas para se misturar ao tráfego de rede de rotina.
Interesses
Como o principal interesse do ataque é a coleta de informações, a fase final do ataque pode envolver a transferência de arquivos através de vários sistemas até chegar no seu destino final. O APT40 foi observado compactando arquivos adquiridos das redes das vítimas e usando a ferramenta rar.exe para compactar e criptografar os dados antes da exfiltração. Também foi relatado o uso de uma ferramenta desenvolvida pelo próprio APT40, como o PAPERPUSH, para ajudar na eficácia do roubo de dados.
Informações sobre o APT40 ATT&CK Táticas e Técnicas do MITRE ATT&CK® framework podem ser encontradas aqui.
Mitigação
Como forma de auxiliar na proteção e defesa das redes empresariais e para ajudar os profissionais de segurança a identificar e remediar invasões do APT40, o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA), recomendam, em seu advisory, as seguintes práticas:
Rede – Defesa em Profundidade
Uma adequada defesa de rede em profundidade e a adesão às melhores práticas de segurança da informação podem ajudar a mitigar a ameaça e reduzir o risco.
Gerenciamento de patch e vulnerabilidade
- Instalar patches fornecidos e verificados pelos fornecedores em todos os sistemas para vulnerabilidades críticas, priorizando patches de servidores conectados à Internet e software de processamento de dados da Internet – como navegadores da Web, plug-ins de navegadores e leitores de documentos;
- Certificar-se de que as etapas de migração adequadas ou controles de compensação sejam implementados para vulnerabilidades que não podem ser corrigidas em tempo hábil;
- Manter assinaturas e mecanismos de antivírus atualizados;
- Realizar auditoria rotineira dos programas de configuração e gerenciamento de patches para garantir a capacidade de rastrear e mitigar ameaças emergentes. Implementar uma configuração rigorosa e um programa de gerenciamento de patches dificultará as operações sofisticadas dos atores de ameaças cibernéticas e protegerá os recursos e os sistemas de informação.
Proteger credenciais
- Fortalecer os requisitos de credenciais, alterar regularmente as senhas e implementar autenticação multifator para proteger contas individuais, especialmente para webmail e acesso VPN e para contas que acessam sistemas críticos. Não reutilizar senhas para várias contas;
- Auditar todas as autenticações remotas de redes ou provedores de serviços confiáveis. Detectar incompatibilidades correlacionando credenciais usadas em redes internas com aquelas empregadas em sistemas externos;
- Registrar o uso de comandos do administrador do sistema, como net, ipconfig e ping;
- Aplicar o princípio do menor privilégio.
Higiene e monitoramento de rede
- Fazer varredura e monitorar ativamente os aplicativos acessíveis pela Internet em busca de acesso não autorizado, modificação e atividades anômalas;
- Monitorar ativamente o uso do disco do servidor e fazer auditoria em busca de mudanças significativas;
- Registrar consultas de DNS e considerar o bloqueio de todas as solicitações de DNS de saída que não se originem de servidores DNS aprovados. Monitorar consultas de DNS para C2 sobre DNS;
- Desenvolver e monitorar as linhas de base da rede e do sistema para permitir a identificação de atividades anômalas. Registros de auditoria para comportamento suspeito;
- Identificar e suspender o acesso de usuários que exibem atividades incomuns;
- Usar a lista de permissões ou comparação de linha de base para monitorar os logs de eventos do Windows e o tráfego de rede para detectar quando um usuário mapeia um compartilhamento administrativo privilegiado em um sistema Windows;
- Utilizar os serviços de reputação de ameaças de várias origens para arquivos, DNS, URLs, endereços IP e endereços de e-mail;
- Interfaces de gerenciamento de dispositivos de rede – como Telnet, Secure Shell (SSH), Winbox e HTTP – devem ser desligadas para interfaces de rede de longa distância (WAN) e protegidas com senhas fortes e criptografia quando habilitadas;
- Quando possível, segmentar informações críticas em sistemas air-gapp. Usar medidas estritas de controle de acesso para dados críticos.
IOCs – Indicadores de Comprometimento
Domínios
MD5 Malware Hashes
Atenção: Para descobrir atividades maliciosas, analistas de resposta à incidentes procuram indicadores de comprometimento (IOCs) em artefatos baseados em rede e host e avaliam os resultados – eliminando falsos positivos durante a avaliação. Por exemplo, alguns IOCs MD5 na tabela abaixo identificam ferramentas legítimas – como PuTTY, cmd.exe, svchost.exe, etc. – como indicadores de comprometimento. Embora as ferramentas em si não sejam maliciosas, os atacantes do APT40 as colocavam e usavam de pastas não padrão nos sistemas das vítimas durante a atividade de invasão do computador. Se uma ferramenta legítima for identificada por um responsável pelo incidente, a localização da ferramenta deve ser avaliada para eliminar falsos positivos ou descobrir atividades maliciosas.
Conclusão
Embora o APT40 tenha focado em países estrategicamente importante para a Belt and Road Initiative – Iniciativa Cinturão e Rota da China – incluindo Camboja, Bélgica, Alemanha, Hong Kong, Filipinas, Malásia, Noruega, Arábia Saudita, Suíça, Estados Unidos e Reino Unido, em 2018, a Recorded Future mencionou em um estudo sobre o grupo, um scan de portas e investigação de departamentos governamentais e redes de entidades comerciais na Mongólia, Quênia e Brasil. Cada um desses países é um destino de investimento importante como parte da Iniciativa chinesa.
Essa iniciativa é um dos projetos mais ambiciosos do Presidente Xi Jinping, é a construção de uma infraestrutura conectando países do Sudeste Asiático, Ásia Central, Oriente Médio, Europa e África e, por isso, o projeto é considerado estratégico para quase todas as agências de inteligência e definido pela FireEye como um “impulsionador da atividade de ameaça cibernética regional”.
Como a China tem sido um parceiro comercial do Brasil, é importante e necessário o entendimento de grupos como o APT40 que podem, eventualmente, ter o Brasil como alvo em ataques futuros.
Referências
- https://attack.mitre.org/groups/G0065/
- https://us-cert.cisa.gov/ncas/alerts/aa21-200a
- https://us-cert.cisa.gov/ncas/alerts/aa20-275a
- https://go.recordedfuture.com/hubfs/reports/cta-2018-0816.pdf
- https://intrusiontruth.wordpress.com/2020/01/10/who-is-mr-gu/
- https://www.fireeye.com/current-threats/apt-groups.html#apt40
- https://www.justice.gov/opa/press-release/file/1412921/download
- https://www.recordedfuture.com/chinese-cyberespionage-operations/
- https://securityaffairs.co/wordpress/75448/apt/bri-cyber-espionage-china.html
- https://securityaffairs.co/wordpress/96364/apt/china-linked-apt40-front-companies.html
- https://www.fireeye.com/blog/threat-research/2019/03/apt40-examining-a-china-nexus-espionage-actor.html
- https://www.zdnet.com/article/report-chinese-hacking-group-apt40-hides-behind-network-of-front-companies/
- https://intrusiontruth.wordpress.com/2020/01/09/what-is-the-hainan-xiandun-technology-development-company/
- https://www.justice.gov/opa/pr/four-chinese-nationals-working-ministry-state-security-charged-global-computer-intrusion
- https://us-cert.cisa.gov/sites/default/files/publications/CSA_TTPs-of-Indicted-APT40-Actors-Associated-with-China-MSS-Hainan-State-Security-Department.pdf
- https://www.vice.com/en/article/wjka84/intrusion-truth-group-doxing-hackers-chinese-intelligence