Crédito da imagem:ZDNet
A Operação Chimera se concentra no roubo de valiosos projetos de propriedade intelectual e semicondutores.
Ataques direcionados contra empresas de semicondutores em Taiwan podem não ser bem conhecidos, mas isso não significa que o efeito cascata de um hack bem-sucedido não seja sentido em todo o mundo.
Na última década, Taiwan se estabeleceu lentamente como um viveiro para empresas de chips, tanto em desenvolvimento quanto em produção. A Taiwan Semicondutor Manufacturing Company (TSMC) é uma empresa importante no campo e, com o tempo, o valor de mercado do setor de fabricação de equipamentos e semicondutores em geral aumentou no país.
O setor de tecnologia é o principal alvo de grupos avançados de ameaças persistentes (APT), dada a propriedade intelectual frequentemente lucrativa e valiosa - e também os dados dos clientes - que as empresas do setor protegem.
Na Black Hat USA na quinta-feira, os pesquisadores da CyCraft Technology Chung-Kuan Chen e Inndy Lin descreveram um conjunto de ataques que se acredita terem sido conduzidos pelo mesmo grupo APT chinês na busca por designs de semicondutores, código-fonte, kits de desenvolvimento de software (SDKs), e outras informações proprietárias.
"Se esses documentos forem roubados com sucesso, o impacto pode ser devastador", disseram os pesquisadores. "O motivo por trás desses ataques provavelmente vem de concorrentes ou mesmo de países que buscam obter uma vantagem competitiva sobre os rivais."
De acordo com a equipe, ataques foram lançados contra vários fornecedores de semicondutores localizados no Parque Industrial Hsinchu Science em Taiwan. Até o momento, acredita-se que pelo menos sete fornecedores - bem como suas subsidiárias - foram atacados pelo mesmo grupo APT no que a equipe chama de "ataques precisos e bem coordenados".
Chamada de Operação Chimera, também conhecida como Esqueleto, a APT lançou uma série de ataques ao longo de 2018 e 2019 com uma variedade de ferramentas, incluindo Cobalt Strike - uma ferramenta legítima de teste de penetração que os agentes de ameaças abusam - e uma chave de esqueleto personalizada derivado do código extraído do Dumpert e do Mimikatz.
Em dois estudos de caso descritos no white paper da CyCraft (.PDF), uma variedade de endpoints e contas de usuário foram comprometidas no momento em que as infecções por malware foram detectadas.
O acesso inicial veio de uma ID corporativa válida - potencialmente roubada em uma violação de dados separada - e uma conexão de rede privada virtual (VPN) no primeiro caso.
"Muitas empresas muitas vezes negligenciar este vetor de ataque, por padrão confiando conexões VPN e acolhendo-os em sua intranet, e Quimera é um dos atores mais ameaças qualificados que temos visto em abusar políticas VPN", os pesquisadores adicionados .
No estágio seguinte da cadeia de ataque, um protocolo de desktop remoto (RDP) foi usado para obter acesso aos servidores da empresa.
Durante o segundo ataque Chimera, anormalidades foram descobertas durante uma atualização de rede em que a carga de malware foi injetada diretamente na memória do sistema, possibilitada por scripts PowerShell codificados.
Depois de carregado em uma rede comprometida, uma versão adaptada do Cobalt Strike mascarada como uma função do Google Update (GoogleUpdate.exe), ao mesmo tempo em que estabelece beacons backdoor e mecanismos de persistência.
Para exfiltrar dados de uma máquina infectada, o Chimera usa uma versão antiga do RAR, um programa de arquivamento legítimo, que também foi adulterado para fins maliciosos. A ferramenta personalizada, batizada de ChimeRAR, arquiva os dados coletados de uma rede e os transfere para um servidor de comando e controle (C2) controlado pelos ciberataques.
Para mascarar ainda mais sua atividade, o grupo de ameaças também hospedou vários C2s na plataforma Google Cloud e por meio do Microsoft Azure, bem como por meio de outros serviços de nuvem pública.
A chave mestra, no entanto, é talvez a arma mais interessante no arsenal de Chimera. A Unidade de Contador de Ameaças da Dell Secureworks documentou pela primeira vez o uso de uma chave-esqueleto capaz de contornar as verificações de autenticação nos servidores Active Directory (AD) em 2015, dando aos cibercriminosos acesso irrestrito a serviços de acesso remoto.
A ferramenta da Chimera, chamada "SkeletonKeyInjector", foi projetada para ser implantada em servidores AD e controladores de domínio (DC), permitindo que os ciberataques se movam lateralmente por uma rede e façam chamadas diretas, evitando assim o software de segurança existente.
Os trechos de código retirados do Mimikatz e do Dumpert fornecem ao malware a capacidade de contornar o monitoramento de API, um mecanismo de defesa comum usado pelas soluções atuais de proteção antivírus e de endpoint.
"O malware alterou o programa de autenticação do New Technology LAN Manager (NTLM) e implantou uma chave de esqueleto para permitir que os invasores se conectassem sem a necessidade de credenciais válidas", disseram os pesquisadores. "Uma vez que o código na memória foi alterado, os invasores ainda podem obter acesso às máquinas comprometidas, mesmo após redefinir as senhas."
A equipe acrescenta que, como as máquinas AD raramente recebem uma reinicialização, isso pode significar que as chaves de esqueleto podem passar despercebidas por longos períodos e também facilitar os desejos dos agentes de ameaças de se moverem lateralmente pelas redes sem detecção. Em um dos estudos de caso da empresa, o grupo APT esteve presente por cerca de um ano antes de ser removido da rede comprometida.
"Com base nos dados roubados, inferimos que o objetivo do ator era colher segredos comerciais da empresa", diz CyCraft. "O motivo pode estar relacionado à competição empresarial ou à estratégia industrial de um país."
A ZDNet entrou em contato com os pesquisadores para fazer perguntas adicionais e será atualizada quando tivermos uma resposta
Fonte:ZDNet
Por Charlie Osborne para Zero Day | 6 de agosto de 2020 às 21:59 GMT (14:59 PDT) | Tópico: Security
