Um grupo de hackers associado ao estado chinês desenvolveu uma nova e furtiva tática para se infiltrar em redes de infraestruturas, permanecendo indetetável por mais de um ano. A técnica inovadora consiste em transformar um componente de uma popular ferramenta de mapeamento geográfico, o ArcGIS, numa arma para executar comandos e roubar dados.
A descoberta foi feita por investigadores da empresa de cibersegurança ReliaQuest, que atribuem o ataque ao grupo de ameaças persistentes avançadas (APT) conhecido como Flax Typhoon, notório pelas suas campanhas de espionagem.
Uma porta de entrada geográfica
O software ArcGIS, desenvolvido pela Esri, é amplamente utilizado por municípios, serviços públicos e operadores de infraestruturas para analisar e visualizar dados geográficos através de mapas. A sua capacidade de ser expandido através de extensões de servidor (SOE) foi o ponto fraco explorado pelos atacantes.
Segundo o relatório, os hackers conseguiram aceder a um servidor ArcGIS público utilizando credenciais de administrador válidas. A partir daí, conseguiram alcançar um servidor interno e carregar uma extensão Java maliciosa (SOE), que funcionava como uma "web shell".
A arma secreta: Uma extensão transformada em backdoor
Esta extensão maliciosa permitia aos atacantes enviar comandos remotamente, disfarçados de operações de rotina do próprio software. A comunicação era protegida por uma chave secreta, garantindo que apenas os invasores tinham acesso a esta porta das traseiras.
Com o controlo do servidor interno, o passo seguinte foi garantir que o acesso não seria perdido. Para isso, os hackers usaram a "web shell" para descarregar e instalar o software SoftEther VPN Bridge. Este foi configurado como um serviço do Windows, iniciando-se automaticamente com o sistema para estabelecer persistência.
A VPN criava um túnel HTTPS para um servidor controlado pelos atacantes, utilizando a porta 443, o que fazia com que o tráfego malicioso se misturasse com o tráfego legítimo da rede, tornando a sua deteção extremamente difícil. Mesmo que a extensão maliciosa fosse descoberta e removida, a VPN continuaria ativa.
Mãos ao teclado: Roubo de credenciais e movimentação lateral
Com uma ligação estável e furtiva à rede interna da vítima, os hackers iniciaram a fase de "mãos ao teclado". Os investigadores observaram tentativas de extrair bases de dados de contas (SAM), chaves de registo de segurança e segredos do LSA de duas estações de trabalho pertencentes à equipa de TI da organização.
Foi também detetada a criação de um ficheiro chamado "pass.txt.lnk", o que sugere uma tentativa ativa de roubo de credenciais para se movimentarem lateralmente no ambiente de Active Directory e comprometerem outros sistemas.
A Esri, empresa que desenvolve o ArcGIS, confirmou que esta é a primeira vez que uma extensão SOE é utilizada desta forma num ataque informático e comprometeu-se a atualizar a sua documentação para alertar os utilizadores sobre este risco de segurança.
Nenhum comentário
Seja o primeiro!