2022/03/04

Investigadores descobrem backdoor chinês que disfarça comunicações

O backdoor chinês Daxin foi concebido para roubar informação de redes empresariais ou militares, iludindo os seus sistemas de detecção.

A guerra entre Rússia e Ucrânia tem demonstrado a importância do campo de batalha digital no teatro de guerra moderno. Obter informação e interferir no funcionamento de infraestruturas críticas pode ter um efeito fulcral numa ofensiva, e confirma o impacto no mundo real que as operações feitas sentadas à frente de um monitor podem ter.

Investigadores de segurança descobriram um dos mais avançados backdoors até à data. O Daxin, que tem sido associados por grupos de hackers chineses, não só se infiltra no sistema como um driver kernel - que lhe dá acesso privilegiado a praticamente todos os processos e consequente roubo de dados - como também se dá a bastante trabalho para disfarçar as suas comunicações.

Depois de um malware conseguir infectar um sistema e roubar dados, tem ainda o passo importante de os enviar de volta para o atacante. Esse passo crítico corre o risco de alertar os sistemas de detecção, ao detectarem comunicações inesperadas; mas este backdoor consegue aproveitar-se de ligações TCP legítimas criadas por apps autorizadas, e depois criando um canal encriptado para enviar as informações sem levantar suspeitas.
Ataques usando este backdoor têm sido registados de 2019, mas a Symantec diz que os primeiros indícios do mesmo remontam a 2013, já usando o mesmo tipo de táctica para passar despercebido. E ao que parece, esse objectivo terá sido conseguido por mais de meia década.

3 comentários:

  1. Um kernel driver, está trocado o nome. Não é dito o sistema, se for Windows é notável o disfarce.

    ResponderEliminar
  2. Sempre desconfiei de "backdoors"

    ResponderEliminar

[pub]