O **National Cyber Security Centre (NCSC-UK)**, juntamente com parceiros internacionais, divulgou um aviso conjunto detalhando a mudança nas táticas, técnicas e procedimentos (TTPs) empregados por atores cibernéticos nexus China. Essa mudança envolve o aproveitamento de redes em larga escala de dispositivos comprometidos, referidas como "redes clandestinas", para realizar operações cibernéticas. **Colaboração Internacional:** O aviso é um esforço colaborativo envolvendo: * Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) * Communications Security Establishment Canada’s (CSE’s) Canadian Centre for Cyber Security (Cyber Centre) * Germany Federal Office for the Protection of the Constitution - Bundesamt für Verfassungsschutz (BfV) * Germany Federal Intelligence Service – Bundesnachrichtendienst (BND) * Germany Federal Office for Information Security - Bundesamt für Sicherheit in der Informationstechnik (BSI) * Japan National Cybersecurity Office (NCO) - 国家サイバー統括室 * Netherlands General Intelligence and Security Service - Algemene Inlichtingen- en Veiligheidsdienst (AIVD) * Netherlands Defence Intelligence and Security Service - Militaire Inlichtingen- en Veiligheidsdienst (MIVD) * New Zealand National Cyber Security Centre (NCSC-NZ) * Spain National Cryptologic Centre – Centro Criptológico Nacional (CCN) * Sweden National Cyber Security Centre - Nationellt cybersäkerhetscenter (NCSC-SE) * United States Cybersecurity and Infrastructure Security Agency (**CISA**) * United States Department of Defense Cyber Crime Center (DC3) * United States Federal Bureau of Investigation (**FBI**) * United States National Security Agency (**NSA**) O aviso visa equipar os defensores de rede com o conhecimento e as ferramentas necessárias para se defender contra essas ameaças em evolução. **A Ascensão das Redes Clandestinas** Atores de ameaças nexus China estão cada vez mais se afastando da infraestrutura adquirida individualmente, optando em vez disso por redes de dispositivos comprometidos em larga escala e provisionadas externamente. Essas "redes clandestinas" consistem principalmente em roteadores Small Office Home Office (SOHO) comprometidos, dispositivos de Internet das Coisas (IoT) e dispositivos inteligentes. Essas redes, também conhecidas como botnets, são usadas estrategicamente em escala para facilitar atividades cibernéticas maliciosas. **Como as Redes Clandestinas Operam** Redes clandestinas fornecem um método de baixo custo, baixo risco e negável para se conectar pela internet, disfarçando efetivamente a origem e a atribuição de atividades maliciosas. Os atores utilizam essas redes ao longo da Cyber Kill Chain, desde varreduras de reconhecimento até a entrega de malware, comunicação com malware e exfiltração de dados roubados. Elas também permitem a navegação anônima para pesquisa sobre técnicas de exploração e vítimas. **Raptor Train e Integrity Technology Group** Evidências sugerem que empresas chinesas de segurança da informação estão envolvidas na criação e manutenção dessas redes clandestinas. A rede conhecida como **Raptor Train**, que infectou mais de 200.000 dispositivos em todo o mundo em 2024, foi controlada pela **Integrity Technology Group**. O **FBI** avaliou essa empresa como responsável por atividades de intrusão em computadores atribuídas aos hackers baseados na China conhecidos como Flax Typhoon. **Dispositivos Vulneráveis e a Botnet KV** Essas redes clandestinas frequentemente exploram vulnerabilidades em roteadores SOHO, dispositivos IoT (como câmeras web e gravadores de vídeo), firewalls e dispositivos Network Attached Storage (NAS). A Botnet KV, usada pelo Volt Typhoon, visou principalmente roteadores **Cisco** e **NetGear** vulneráveis que estavam "fim de vida" e não recebiam mais atualizações de segurança. **O Desafio da Extinção do Indicador de Comprometimento (IOC)** A **Mandiant Intelligence** destacou a questão da Extinção do Indicador de Comprometimento (IOC) em uma postagem de blog de maio de 2024. A natureza dinâmica dessas redes, com potencialmente centenas de milhares de endpoints usados por múltiplos atores de ameaças, torna as estratégias tradicionais de defesa de rede, como listas estáticas de IPs maliciosos, menos eficazes. **Topologia de Rede Típica** Embora os detalhes específicos de cada rede clandestina variem, elas geralmente seguem uma estrutura semelhante: * **Nó de Entrada/On-ramp:** O ponto inicial de conexão à rede. * **Nós de Travessia:** Múltiplos dispositivos comprometidos que encaminham o tráfego. * **Nó de Saída:** O ponto onde o tráfego sai da rede, muitas vezes na mesma região geográfica do alvo.  **Medidas de Proteção** Defender-se contra ataques originados de redes clandestinas requer uma abordagem multifacetada. As organizações devem seguir as melhores práticas gerais de cibersegurança e considerar as seguintes medidas específicas: * Implementar monitoramento robusto de rede e sistemas de detecção de intrusão. * Manter todos os dispositivos, incluindo roteadores e dispositivos IoT, atualizados com os patches de segurança mais recentes. * Segmentar redes para limitar o impacto de um possível comprometimento. * Aplicar políticas fortes de autenticação e controle de acesso. * Revisar e atualizar regularmente as políticas e procedimentos de segurança. Mais orientações estão disponíveis no site do **NCSC**, juntamente com a consideração das leis e regulamentos aplicáveis.