Hackers Chineses Comprometem ISP Para Envenenar Respostas DNS

Pesquisadores da empresa de cibersegurança Volexity revelaram na sexta-feira que um grupo de hackers chinês ‘StormBamboo’ comprometeu com sucesso um provedor de serviços de internet (ISP) para abusar de atualizações automáticas de software com malware.

Esse grupo de ameaça de ciberespionagem chinês, também rastreado como Evasive Panda, Daggerfly e StormCloud, está ativo desde pelo menos 2012, visando organizações na China continental, Hong Kong, Macau, Nigéria e vários países do Sudeste e Leste Asiático (via BleepingComputer).

Durante um incidente investigado pela Volexity, os pesquisadores de ameaças descobriram que o StormBamboo visou software que usava mecanismos de atualização inseguros, como HTTP, e não validava adequadamente as assinaturas digitais dos instaladores para implantar cargas de malware nas máquinas das vítimas que executavam macOS e Windows.

“Quando esses aplicativos foram buscar suas atualizações, em vez de instalar a atualização pretendida, eles instalariam malware, incluindo, mas não se limitando a MACMA e POCOSTICK (também conhecido como MGBot),” explicou a Volexity em um relatório publicado na sexta-feira.

Para fazer isso, os atacantes interromperam e modificaram as solicitações DNS das vítimas e as redirecionaram para endereços IP maliciosos.

Essa técnica entregou malware aos sistemas da vítima a partir dos servidores de comando e controle (C2) do StormBamboo, exigindo assim nenhuma interação do usuário.

A Volexity descobriu que o StormBamboo estava visando vários fornecedores de software, que usam mecanismos de atualização automática, utilizando diferentes níveis de complexidade em seus passos para empurrar malware.

“Por exemplo, eles aproveitaram as solicitações do 5KPlayer para atualizar a dependência youtube-dl para empurrar um instalador com backdoor hospedado em seus servidores C2,” afirmou o relatório do BleepingComputer.

“Após comprometer os sistemas do alvo, os atores de ameaça instalaram uma extensão maliciosa do Google Chrome (ReloadText), que lhes permitiu coletar e roubar cookies do navegador e dados de e-mail.”

Os pesquisadores de ameaças notificaram e trabalharam com o ISP, que então investigou dispositivos importantes de roteamento de tráfego em sua rede. Assim que o ISP reiniciou, retirou componentes específicos da rede do ar, o que imediatamente parou o envenenamento DNS.

“StormBamboo é um ator de ameaça altamente qualificado e agressivo que compromete terceiros (neste caso, um ISP) para violar alvos pretendidos.

A variedade de malware empregado em várias campanhas por esse ator de ameaça indica um esforço significativo investido, com cargas ativamente suportadas não apenas para macOS e Windows, mas também para dispositivos de rede,” concluíram os pesquisadores.