Malware vinculado à China atingiu redes seguras em ‘vários governos’

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), trabalhando com a fornecedora de segurança Symantec, encontrou uma ferramenta de ataque de rede extremamente sofisticada que pode criar backdoors de forma invisível, foi plausivelmente vinculada a atores chineses e pode estar em uso desde 2013.

A equipe de caça a ameaças da Symantec chamou o malware de “Daxin” e o descreveu como “um backdoor furtivo projetado para ataques em redes protegidas”. A empresa de segurança de propriedade da Broadcom diz que encontrou amostras do malware que datam de 2013, e que recursos presentes em versões recentes também foram encontrados em cortes mais antigos do código. Essas versões recentes do malware foram associadas a “agentes de ameaças vinculados à China”.

O comunicado da CISA sobre o malware o descreve como “um backdoor de rootkit altamente sofisticado com funcionalidade de comando e controle complexa e furtiva que permitiu que atores remotos se comunicassem com dispositivos seguros não conectados diretamente à Internet”. A agência afirma que o Daxin “parece ser otimizado para uso contra alvos endurecidos, permitindo que os atores se aprofundem nas redes direcionadas e extraiam dados sem levantar suspeitas”.

A análise do malware da Symantec afirma que ele foi usado em novembro de 2021 por invasores ligados ao Reino do Meio e que quem o empunha tem como alvo “organizações e governos de interesse estratégico para a China”.

De onde quer que venha, Daxin é desagradável.

A Symantec diz que é fornecido como um driver de kernel do Windows e funciona para sequestrar conexões TCP/IP legítimas.

“Para fazer isso, ele monitora todo o tráfego TCP de entrada para determinados padrões”, afirma a análise da Symantec. “Sempre que qualquer um desses padrões é detectado, o Daxin desconecta o destinatário legítimo e assume a conexão. Em seguida, ele realiza uma troca de chave personalizada com o ponto remoto, onde dois lados seguem etapas complementares.”

Uma vez que a troca de chaves foi realizada, Daxin abre um canal de comunicação criptografado para receber comandos e enviar respostas. Ao sequestrar conexões, o Daxin pode burlar as regras do firewall.

Daxin também pode realizar os seguintes truques:

• Crie um novo canal de comunicação em vários computadores infectados, com invasores capazes de enviar uma única mensagem especificando quais nós desejam participar desse esforço. A rede então se automonta e cria links criptografados entre os nós e retransmite a mensagem ordenando o uso de cada nó. A Symantec sugere que esse design foi escolhido para funcionar em redes bem protegidas que forçam a reconexão periódica.
• Encapsule os pacotes de rede brutos a serem transmitidos por meio do adaptador de rede local. O Daxin então rastreia os fluxos de rede para que quaisquer pacotes de resposta sejam capturados e encaminhados ao invasor remoto. Esse recurso significa que os invasores podem se comunicar com serviços legítimos que podem ser acessados ​​pela máquina infectada na rede do alvo.
• Implante componentes de comunicação furtivos adicionais, um dos quais permite que um invasor remoto se comunique com componentes selecionados.

O explicador da Symantec promete mais revelações sobre o Daxin. Isso será bem-vindo, porque no momento em que escrevemos sabemos que entidades não identificadas ligadas à China parecem ter sido capazes de lançar um backdoor muito furtivo nas redes seguras dos estados – mas não sabemos quando e onde esses ataques aconteceram, ou os resultados de quaisquer compromissos.

Fonte: https://www.theregister.com/