){kind=link}
Um grupo de hackers com alta probabilidade de vínculo ao governo chinês está conduzindo uma campanha sistemática de espionagem contra provedores de telecomunicações na América do Sul desde 2024. O alerta foi publicado nesta semana pela Cisco Talos, organização de inteligência em cibersegurança.
O grupo, identificado como UAT-9244, utiliza três programas maliciosos inéditos e técnicas sofisticadas de ocultação para comprometer redes de internet, telefonia e dados sem ser detectado.
smart_display
Nossos vídeos em destaque
A origem do UAT-9244
A Cisco Talos identificou o UAT-9244 como um aglomerado de atividade independente, mas estreitamente associado a grupos já conhecidos, o Famous Sparrow e o Tropic Trooper. O grupo compartilha ferramentas e táticas de ataque semelhantes com esses coletivos, mas, devido às particularidades observadas, os especialistas o monitoram como um núcleo de atividade separado.
A atribuição à China é feita com o que os pesquisadores chamam de “alta confiança”, uma escala usada na inteligência para indicar o grau de certeza de uma conclusão. Essa confiança se baseia em evidências técnicas concretas, uma vez que a atribuição se apoia em identidade de código, infraestrutura de comando e controle e metodologias de distribuição semelhantes às de outros grupos chineses conhecidos.
Além disso, os próprios arquivos dos programas maliciosos deixaram rastros, já que os pesquisadores notaram strings de debug em Chinês Simplificado nos binários, um indicador direto da origem dos desenvolvedores. “Strings de debug” são anotações que programadores deixam no código durante o desenvolvimento, neste caso, escritas em mandarim.
Por que telecomunicações?
As operadoras de telecomunicações são, na prática, a espinha dorsal das comunicações de um país inteiro. Quem controla a infraestrutura de uma operadora tem acesso potencial a ligações telefônicas, tráfego de dados corporativos, comunicações governamentais e até sistemas de segurança pública que dependem dessas redes.
O foco exclusivo nas telecomunicações sul-americanas distingue o UAT-9244 de outros grupos chineses, ainda que compartilhe características comuns de arsenal técnico com eles. Isso indica que o interesse não é financeiro, não se trata de ransomware para extorquir dinheiro.
Ao coletar inteligência de comunicações em uma região de crescente interesse econômico e político para a China, é possível afirmar que o interesse é geopolítico.
As três armas do ataque
A investigação revelou a utilização de três famílias de software malicioso que nunca tinham sido documentadas anteriormente. Cada uma tem um papel distinto na operação.
O primeiro programa é o TernDoor, desenvolvido para comprometer computadores com Windows. Ele entra no sistema por meio de uma técnica chamada DLL side-loading. Em vez de instalar um arquivo obviamente malicioso, ele substitui sorrateiramente uma biblioteca de sistema legítima por uma versão adulterada.
O programa confiável do Windows carrega essa biblioteca sem perceber a troca. Uma vez iniciado, o TernDoor coleta informações do sistema, executa comandos remotos, lê e escreve arquivos e suporta desinstalação com um parâmetro específico, ou seja, os atacantes podem apagar os próprios rastros à distância.
Para permitir que continue ativo mesmo após reinicializações, o grupo programa a permanência nos sistemas infectados por meio da modificação do registro e da criação de tarefas agendadas ocultas.
O segundo programa é o PeerTime, voltado para servidores Linux e dispositivos de rede embarcados, como roteadores e switches.
Sua característica mais sofisticada é o canal de comunicação que usa, já que em vez de se comunicar com os servidores dos atacantes por protocolos convencionais, que sistemas de segurança monitoram, ele usa o protocolo BitTorrent, o mesmo utilizado para compartilhamento de arquivos na internet.
Isso faz com que o tráfego malicioso se misture com o tráfego comum e passe despercebido. O PeerTime é compilado para diversas arquiteturas de processador, como ARM, AARCH, PPC e MIPS, o que indica que pode infectar uma variedade de sistemas embarcados, incluindo os equipamentos de rede que raramente recebem atualizações de segurança e costumam ser ignorados em estratégias de proteção.
O terceiro programa é o BruteEntry, e sua função é expandir o alcance do ataque. Depois que um dispositivo é comprometido, o BruteEntry o transforma em um “soldado digital” que passa a atacar outros sistemas em nome dos hackers.
O BruteEntry transforma os dispositivos comprometidos em nós de varredura, conhecidos como Operational Relay Boxes (ORBs), usando as máquinas infectadas para escanear novos alvos e forçar o acesso a serviços como SSH, Postgres e Tomcat por meio de ataques de força bruta.
Um ataque de força bruta é quando o sistema testa automaticamente milhares de combinações de usuário e senha até encontrar uma que funcione.
A consequência prática dos ORBs é que os ataques subsequentes parecem partir do endereço IP da vítima original, não do servidor dos hackers na China. Isso cria uma cadeia de rastreamento extremamente difícil de seguir e dificulta o bloqueio baseado em endereços conhecidos.
Como se defender
A Cisco Talos recomenda verificar em sistemas Windows a presença dos arquivos WSPrint.exe e BugSplatRc64.dll, além de tarefas agendadas suspeitas. Em Linux, é necessário monitorar processos relacionados ao PeerTime e ao Talos Intelligence BruteEntry, bem como tráfego BitTorrent anômalo em dispositivos de borda.
Do ponto de vista estrutural, as principais recomendações são:
- Auditar arquivos suspeitos no Windows: verificar a presença de WSPrint.exe e BugSplatRc64.dll e inspecionar tarefas agendadas ocultas;
- Monitorar dispositivos Linux e de borda: identificar processos anômalos relacionados ao PeerTime e ao BruteEntry;
- Bloquear tráfego BitTorrent em equipamentos de rede: o PeerTime usa esse protocolo para disfarçar sua comunicação com os servidores dos atacantes;
- Ativar autenticação de múltiplos fatores em serviços administrativos, especialmente SSH;
- Restringir o acesso remoto a interfaces de gestão: nenhuma delas deveria estar exposta diretamente à internet sem controles rígidos;
- Adotar soluções EDR (Endpoint Detection and Response): ferramentas que monitoram comportamentos suspeitos nos dispositivos em tempo real, além dos antivírus tradicionais;
- Atualizar firmware de roteadores e switches: equipamentos de borda raramente recebem atenção nas rotinas de segurança e são um vetor preferencial desse grupo.
Acompanhe o TecMundo nas redes sociais para mais notícias sobre cibersegurança.