CISA: Hackers apoiados pela china estão explorando bugs no F5, Citrix, Pulse Secure e Exchange
A CISA diz que os ataques começaram há um ano e alguns foram bem-sucedidos.
A Agência de Segurança Cibernética e Infraestrutura (CISA) publicou um comunicado de segurança alertando sobre uma onda de ataques perpetrados por grupos de hackers afiliados ao Ministério de Segurança do Estado da China (MSS).
A CISA afirma que, no ano passado, os hackers chineses verificaram as redes do governo dos Estados Unidos em busca de dispositivos de rede populares e, em seguida, usaram exploits para vulnerabilidades recentemente divulgadas para ganhar uma posição em redes sensíveis.
A lista de dispositivos direcionados inclui balanceadores de carga F5 Big-IP, dispositivos Citrix e Pulse Secure VPN e servidores de e-mail Microsoft Exchange.
Para cada um desses dispositivos, as principais vulnerabilidades foram divulgadas publicamente nos últimos 12 meses, como CVE-2020-5902 , CVE-2019-19781 , CVE-2019-11510 e CVE-2020-0688 , respectivamente.
De acordo com uma tabela que resume a atividade chinesa direcionada a esses dispositivos publicada pela CISA hoje, alguns ataques foram bem-sucedidos e permitiram que os hackers chineses ganhassem uma posição nas redes federais.
HACKERS IRANIANOS TAMBÉM TÊM COMO ALVO ESSES SISTEMAS
Esses ataques não são novos, por si só. A ZDNet relatou no ano passado que hackers do estado chinês tinham como alvo os servidores VPN Pulse Secure e Fortinet menos de um mês depois que as vulnerabilidades se tornaram públicas.
Além disso, os hackers chineses não são os únicos que têm como alvo esses aparelhos de rede específicos. Os dispositivos listados acima também foram visados por atores do Estado iraniano, de acordo com um relatório do setor privado de cibersegurança e um alerta de cibersegurança publicado pelo FBI no mês passado.
Um grupo iraniano comprometeu em massa esses tipos de dispositivos e, em seguida, forneceu acesso a outros grupos iranianos, permitindo-lhes selecionar as redes que queriam comprometer para operações de coleta de inteligência. Os dispositivos comprometidos que não foram selecionados foram posteriormente colocados à venda em fóruns de hackers clandestinos , de acordo com um relatório do Crowdstrike.
OUTRAS FORMAS DE ATAQUES TAMBÉM DETECTADAS
O alerta da CISA avisa o setor privado dos Estados Unidos e agências governamentais para corrigir os dispositivos F5, Citrix, Pulse Secure e Microsoft Exchange. No entanto, o alerta também avisa que os hackers chineses estão empregando um amplo espectro de outros métodos de intrusão.
Isso também inclui o uso de e-mails de spear-phishing – um ataque clássico empregado por atores do Estado chinês – e o uso de ataques de força bruta usando credenciais fracas ou padrão.
Uma vez que os hackers chineses estão dentro das redes direcionadas, eles frequentemente implantam ferramentas comerciais e de código aberto para mover lateralmente pelas redes e exfiltrar dados. Isso inclui o uso de ferramentas legítimas de teste de penetração, como Cobalt Strike e Mimikatz .
Quando os ataques visam sistemas da web voltados para o público, como VPNs, servidores da web e de e-mail, a CISA disse que frequentemente avistou hackers do estado chinês implantando o shell da web China Chopper , uma ferramenta comum que eles usam há quase uma década.
Funcionários da CISA recomendam que as equipes de segurança em empresas privadas e do setor privado e agências governamentais leiam seu relatório, tomem conhecimento das táticas, técnicas e procedimentos comuns (TTPs) usados por atores estatais chineses, consertem dispositivos e implantem regras de detecção de acordo.
