Um novo comunicado conjunto de segurança cibernética do Federal Bureau of Investigation, da Cyber National Mission Force e da National Security Agency expõe novas atividades do agente de ameaça Flax Typhoon.
Os cibercriminosos comprometeram mais de 260.000 roteadores de pequenos escritórios/casas (SOHO), firewalls, armazenamento conectado à rede e dispositivos de Internet das Coisas para criar uma botnet capaz de lançar ataques de negação de serviço distribuída ou ataques direcionados a redes dos EUA.
Quem é Flax Typhoon?
Flax Typhoon, também conhecido como RedJuliett e Ethereal Panda, é um agente de ameaças baseado na China ativo desde pelo menos meados de 2021, de acordo com a Microsoft. A gigante da tecnologia relatou que o Flax Typhoon tem como alvo organizações baseadas em Taiwan, bem como outras vítimas no Sudeste Asiático, América do Norte e África para fins de ciberespionagem.
De acordo com o comunicado conjunto do FBI, o grupo apoia uma empresa sediada na China chamada Integrity Tech, que tem laços com o governo chinês.
O Flax Typhoon usou vários endereços IP diferentes do provedor chinês China Unicom Beijing Province para controlar e gerenciar a botnet. O grupo também alavancou esses endereços para acessar outras infraestruturas operacionais usadas em operações de intrusão de computadores voltadas para entidades dos EUA.
Outros relatórios mostram que agentes de ameaças baseados na China têm como alvo empresas e governos em todo o mundo nos últimos anos.
VEJA: Por que sua empresa precisa de treinamento de conscientização sobre segurança cibernética (TechRepublic Premium)
Botnet ‘Raptor Train’
Black Lotus Labs, a equipe de inteligência de ameaças da empresa de segurança cibernética Lumen, publicou um relatório sobre o comprometimento de roteadores SOHO e outros dispositivos pelo Flax Typhoon. Eles chamaram a botnet resultante dessa atividade de “Raptor Train” e a têm rastreado por quatro anos.
Os dispositivos afetados foram comprometidos por uma variante da infame família de malware Mirai, tornando-a uma arma de escolha para qualquer criminoso cibernético que pretenda comprometer dispositivos de IoT, pois eles poderiam facilmente modificar o código para seu propósito.
Na variante observada pelo FBI, o malware automatiza o comprometimento de vários dispositivos explorando vulnerabilidades conhecidas. As vulnerabilidades mais antigas exploradas datam de 2015, enquanto a mais recente ocorreu em julho de 2024. Uma vez comprometido, o dispositivo envia informações do sistema e da rede para um servidor C2 controlado pelo invasor.
Em setembro de 2024, mais de 80 subdomínios de um domínio w8510.com estavam associados à botnet.
Quase metade dos dispositivos afetados estão localizados nos EUA
Em junho de 2024, os servidores de gerenciamento que executavam um software front-end chamado “Sparrow”, que permitia aos invasores controlar dispositivos comprometidos, continham mais de 1,2 milhão de registros. Isso inclui mais de 385.000 dispositivos exclusivos nos EUA
Uma contagem de dispositivos infectados feita em junho de 2024 revelou que quase metade (47,9%) dos dispositivos infectados estavam localizados nos EUA, seguidos pelo Vietnã (8%) e Alemanha (7,2%).
Mais de 50 sistemas Linux foram comprometidos, desde versões desatualizadas e sem suporte até versões atualmente suportadas, executando versões do kernel Linux de 2.6 a 5.4.
A interface Sparrow permitiu que o agente da ameaça não apenas listasse os dispositivos comprometidos, mas também gerenciasse vulnerabilidades e explorações, carregasse ou baixasse arquivos, executasse comandos remotos e personalizasse ataques DDoS baseados em IoT em escala.
Os dispositivos comprometidos pela botnet abrangem muitas marcas, incluindo ASUS, TP-LINK ou roteadores Zyxel. Também foram impactadas câmeras IP, como D-LINK DCS, Hikvision, Mobotix, NUUO, AXIS e câmeras Panasonic. NAS da QNAP, Synology, Fujitsu e Zyxel também foram alvos.
O diretor do FBI, Christopher Wray, anunciou em um discurso no Aspen Cyber Summit de 2024 que uma autorização judicial permitiu ao FBI emitir comandos para remover o malware dos dispositivos infectados.
Como as empresas podem se proteger do Flax Typhoon
O FBI recomenda que as seguintes ações sejam tomadas imediatamente:
- Desabilite serviços e portas não utilizados em roteadores e dispositivos IoT. Serviços como Universal Plug And Play ou serviços de compartilhamento de arquivos podem ser abusados por invasores, então todos os serviços devem ser desabilitados se não forem necessários.
- A segmentação de rede deve ser implementada para garantir que os dispositivos IoT não representem um risco maior de comprometimento. O princípio do menor privilégio deve ser aplicado para que os dispositivos possam executar apenas a função pretendida.
- Monitore altos volumes de tráfego de rede. As organizações devem se preparar para volumes de tráfego anormais que podem ser ataques DDoS.
- Implante patches e atualizações para todos os sistemas operacionais, software e firmware. A aplicação regular de patches atenua a exploração de vulnerabilidades.
- Substitua as senhas padrão dos dispositivos por outras mais fortes para que um invasor não consiga simplesmente efetuar login usando credenciais padrão.
A agência federal também sugeriu que as empresas planejem reinicializações de dispositivos — para remover malware sem arquivo que pode ser executado na memória — e substituir equipamentos no fim da vida útil por outros compatíveis.
Divulgação: Trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.