# T1600 - Weaken Encryption > [!danger] Técnica de Alto Impacto em Infraestrutura Crítica > O enfraquecimento de criptografia em dispositivos de rede é uma técnica sofisticada associada a APTs de nível estatal. Quando bem-sucedida, permite interceptação massiva e persistente de comúnicações sem alertar defesas convencionais. Correlaciona com [[t1040-network-sniffing|T1040 - Network Sniffing]] e [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]]. ## Descrição **T1600 - Weaken Encryption** descreve o conjunto de técnicas pelas quais adversários comprometem ou degradam a capacidade de criptografia de **dispositivos de rede** (roteadores, switches, firewalls, VPN concentrators) a fim de interceptar e ler comúnicações que de outra forma estariam protegidas. A criptografia é o principal mecanismo de proteção de dados em trânsito em redes modernas. Protocolos como TLS 1.3, IPsec, SSH e WPA3 dependem de algoritmos criptográficos robustos e chaves de comprimento adequado para garantir **confidencialidade** (impedir leitura não autorizada) e **integridade** (impedir adulteração). O custo computacional de quebrar cifragem forte torna a interceptação direta inviável. Adversários que comprometem dispositivos de rede em posição privilegiada - roteadores de backbone, firewalls de borda, concentradores VPN - podem manipular esses dispositivos para enfraquecer ativamente a criptografia. Isso elimina o custo da criptanálise bruta e posiciona o adversário para: - **Interceptar credenciais** em tráfego VPN ou SSH "seguro" - **Capturar dados sensíveis** de comúnicações corporativas - **Facilitar ataques de movimento lateral** usando credenciais obtidas - **Realizar espionagem de longa duração** sem artefatos detectáveis em endpoints Esta é uma **técnica de nível estatal** - requer acesso administrativo prévio ao dispositivo de rede, geralmente obtido via exploração de vulnerabilidades (ex: [[cve-2023-20198|CVE-2023-20198 - Cisco IOS XE]], [[cve-2022-1388|CVE-2022-1388 - F5 BIG-IP]]) ou uso de credenciais comprometidas. ## Sub-técnicas - [[t1600-001-reduce-key-space|T1600.001 - Reduce Key Space]] - [[t1600-002-disable-crypto-hardware|T1600.002 - Disable Crypto Hardware]] ## Como Funciona O processo de enfraquecimento de criptografia segue uma cadeia consistente independente da sub-técnica utilizada: **Fase 1 - Acesso ao dispositivo de rede:** O adversário obtém acesso administrativo ao dispositivo através de exploração de vulnerabilidade (CVE no IOS/JunOS/NXOS), credential stuffing, ou abuso de protocolo de gestão exposto (SNMP v1/v2, Telnet, HTTP sem TLS). **Fase 2 - Reconhecimento das capacidades criptográficas:** O adversário identifica quais algoritmos e comprimentos de chave estão em uso, verificando a configuração atual (`show running-config`, `show crypto isakmp policy`, `show crypto ipsec sa`). **Fase 3 - Modificação da configuração:** Dependendo da sub-técnica: - **T1600.001**: Reduz o tamanho das chaves RSA/DH, adiciona suites cifradas fracas (DES, 3DES, RC4, MD5), ou force-negotiation de TLS 1.0/1.1 - **T1600.002**: Desabilita módulos TPM, zeroiza chaves armazenadas em HSM, ou desativa AES-NI via flags de firmware/BIOS **Fase 4 - Interceptação passiva (ou ativa):** Com a criptografia enfraquecida, o adversário pode: - Capturar tráfego cifrado e decifrar offline (com chaves curtas ou algoritmos quebráveis) - Realizar ataques MITM ativos forçando renegociação de parâmetros fracos **Relação com [[t1601-modify-system-image|T1601 - Modify System Image]]:** Em muitos casos documentados, o enfraquecimento de criptografia é implementado via modificação persistente da imagem de firmware do dispositivo. Isso garante que a modificação sobreviva reboots e atualizações parciais de configuração. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>de dispositivos de rede expostos"] --> B["Exploração de vulnerabilidade<br/>no firmware do dispositivo"] B --> C["Acesso administrativo<br/>ao dispositivo comprometido"] C --> D{Técnica de enfraquecimento} D -->|"T1600.001"| E["Reduce Key Space<br/>Força chaves RSA/DH curtas<br/>ou algoritmos fracos (DES, RC4)"] D -->|"T1600.002"| F["Disable Crypto Hardware<br/>Desativa TPM/HSM/AES-NI<br/>Fallback para sw degradado"] D -->|"Combinado com T1601"| G["Modify System Image<br/>Persistência via firmware<br/>modificado com backdoor crypto"] E --> H["Dispositivo negocia<br/>criptografia fraca com peers"] F --> H G --> H H --> I["Adversário captura<br/>tráfego cifrado fraco"] I --> J{Objetivo} J -->|"Credenciais"| K["Credential Access<br/>T1040 Network Sniffing"] J -->|"Dados em trânsito"| L["Collection<br/>Interceptação de comúnicações<br/>corporativas/governamentais"] J -->|"MITM ativo"| M["T1557 Adversary In The Middle<br/>Manipulação de dados"] K --> N["Movimento lateral<br/>e acesso persistente"] L --> N M --> N style A fill:#1a1a2e,color:#fff style B fill:#8B0000,color:#fff style C fill:#8B0000,color:#fff style E fill:#CC6600,color:#fff style F fill:#CC6600,color:#fff style G fill:#CC6600,color:#fff style H fill:#990000,color:#fff style K fill:#4B0082,color:#fff style L fill:#4B0082,color:#fff style M fill:#4B0082,color:#fff ``` ## Exemplos de Uso ### APT28 / Fancy Bear (GRU - Rússia) O grupo [[g0007-apt28|APT28]], atribuído à unidade 26165 do GRU russo, está documentado em operações de comprometimento massivo de infraestrutura de rede, incluindo o alerta conjunto FBI/CISA/NCSC/NSA de 2018 sobre comprometimento de dispositivos Cisco e MikroTik. O grupo utilizou o malware **VPNFilter** (detectado em 500.000+ roteadores) para, entre outras capacidades, interceptar e modificar tráfego em transito. Em operações documentadas contra agências governamentais europeias e da OTAN, o APT28 comprometeu roteadores de borda para reduzir parâmetros Diffie-Hellman de 2048 para 768 bits - suficiente para permitir decifração offline com recursos computacionais de nível estatal. ### Volt Typhoon (China - MSS/PLA) O [[g1017-volt-typhoon|Volt Typhoon]], grupo de APT chinês documentado extensivamente pelo FBI, CISA e parceiros Five Eyes em 2023-2024, utilizou dispositivos de rede comprometidos como **nós de relay** ("hop points") em infraestrutura crítica americana. Embora o foco principal sejá [[t1090-003-multi-hop-proxy|T1090.003]], investigações revelaram modificações de configuração criptográfica em roteadores SOHO (Cisco RV320, Netgear, ASUS) para facilitar interceptação. ### Operações de inteligência NSA (NOBUS - documentado Snowden) As revelações de Edward Snowden em 2013 documentaram o programa **BULLRUN** da NSA e seus equivalentes britânicos EDGEHILL, que incluíam deliberada inserção de backdoors em padrões criptográficos (ex: DUAL_EC_DRBG) e comprometimento de dispositivos de rede antes de entrega ao cliente final ("supply chain interdiction"). Embora sejá atividade de inteligência estatal, o padrão técnico é idêntico ao T1600. ### Campanha contra ISPs (vetor de espionagem em larga escala) Grupos APT comprometendo **Internet Service Providers** (ISPs) para enfraquecimento de criptografia representam o vetor de maior impacto - permitem interceptação de comúnicações de **múltiplos** clientes downstream. Incidentes documentados incluem o comprometimento de ISPs de médio porte no Oriente Médio e Ásia Central por grupos atribuídos ao SVR russo. ## Detecção ### Regras Sigma **Regra 1 - Modificação de política criptográfica em syslog de dispositivos Cisco** ```yaml title: Cisco IOS Crypto Policy Modification id: a3c7f1e9-2b8d-4a6f-9e0c-1d5b7f3a8e2c status: experimental description: > Detecta modificações em políticas criptográficas em dispositivos Cisco IOS via análise de syslog, indicando possível T1600.001 (Reduce Key Space). references: - https://attack.mitre.org/techniques/T1600/001/ author: RunkIntel Detection Engineering daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1600 - attack.t1600.001 logsource: product: cisco service: ios detection: selection_crypto_change: message|contains: - 'crypto isakmp policy' - 'crypto ipsec transform-set' - 'crypto key generate rsa' selection_weak_params: message|contains: - 'modulus 512' - 'modulus 768' - 'des ' - '3des' - 'md5' - 'group 1' - 'group 2' condition: selection_crypto_change and selection_weak_params falsepositives: - Administradores configurando compatibilidade com dispositivos legados - Ambientes de laboratório/teste level: high ``` **Regra 2 - Acesso administrativo anômalo a dispositivos de rede** ```yaml title: Anomalous Administrative Access to Network Device id: b7d2e4f8-1a9c-4e3b-8f6d-2c0e5b9a1d4f status: production description: > Detecta login administrativo em dispositivos de rede fora do horário esperado ou de IPs não autorizados - precursor comum de T1600. author: RunkIntel Detection Engineering daté: 2026/03/25 tags: - attack.defense_evasion - attack.t1600 - attack.initial_access logsource: product: cisco service: aaa detection: selection_admin: event_type: 'AUTHPRIV' message|contains: - 'Accepted' - 'LOGIN' filter_known_ips: src_ip|cidr: - '10.0.0.0/8' # Substituir por range de gestão legítimo condition: selection_admin and not filter_known_ips falsepositives: - Acesso remoto legítimo de gestão fora do escritório level: medium ``` ### Controles de detecção | Controle | Método | Cobertura | |---------|--------|-----------| | Baseline de configuração | Comparar running-config atual com baseline aprovado via RANCID/Oxidized | T1600.001, T1600.002 | | Alertas SNMP de modificação | `configChangeTrap` - alerta quando running-config é modificado | T1600 (geral) | | Auditoria de firmware | Verificar hash de firmware contra versão oficial do vendor | T1601 + T1600 | | Análise de tráfego TLS | Detectar handshakes com cipher suites fracas (TLS_RSA_WITH_DES, etc.) | T1600.001 | | Network Flow Analysis | Anomalias em volumes de tráfego cifrado (ex: pico após modificação) | T1600 (geral) | ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|-----------| | [[m1041-encrypt-sensitive-information\|M1041]] | Encrypt Sensitive Information | Utilizar apenas protocolos e algoritmos modernos: TLS 1.3, AES-256-GCM, RSA-4096 ou ECC P-384, SHA-256+. Proibir negociação de versões antigas via política de configuração. | ALTA | | [[m1046-boot-integrity\|M1046]] | Boot Integrity | Habilitar Secure Boot em dispositivos que suportam o recurso. Verificar integridade de firmware via TPM/assinatura digital antes de cada boot para detectar modificações maliciosas. | ALTA | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Implementar autenticação multifator (MFA) para acesso administrativo a dispositivos de rede. Usar servidores AAA centralizados (RADIUS/TACACS+) com logging completo. Rotacionar credenciais regularmente. | ALTA | | Gestão de configuração | Controle compensatório | Usar ferramentas como Oxidized, RANCID ou Ansible para versionar configurações e alertar sobre modificações não autorizadas. | MÉDIA | | Segmentação de rede de gestão | Controle de acesso | Isolar interface de gestão de dispositivos em VLAN/VRF dedicado, acessível apenas de jump hosts autorizados. | ALTA | | Atualização de firmware | Gestão de vulnerabilidades | Manter firmware dos dispositivos de rede atualizado para corrigir CVEs explorados como vetor de acesso inicial. | ALTA | ## Contexto Brasil/LATAM > [!warning] Relevância para Infraestrutura Crítica Brasileira > O Brasil possui **infraestrutura de rede crítica** regulada pela ANATEL e pelo Gabinete de Segurança Institucional (GSI). Ataques a dispositivos de rede de ISPs, bancos e agências governamentais brasileiras usando T1600 representam risco de segurança nacional. ### Incidentes relevantes na região Em 2022-2023, o **CTIR Gov** (Centro de Tratamento de Incidentes de Redes do Governo) documentou comprometimentos de dispositivos de borda em órgãos do governo federal brasileiro, com alguns incidentes envolvendo modificações de configuração não autorizadas em roteadores Cisco e Fortinet. Embora nem todos os casos tenham sido atribuídos a T1600 específicamente, o padrão de acesso inicial via CVE + modificação de configuração é consistente. O [[g1017-volt-typhoon|Volt Typhoon]] e grupos similares com foco em infraestrutura crítica têm interesse documentado em **telecomúnicações latino-americanas** como ponto de passagem para operações em outros países. ISPs brasileiros que provêm conectividade para outros países da LATAM representam alvos de alto valor. ### Regulamentação aplicável - **Decreto nº 9.637/2018** - Política Nacional de Segurança da Informação: obriga proteção de sistemas de informação críticos do governo federal - **Resolução BACEN 4.658/2018** - Segurança cibernética para instituições financeiras: requer criptografia em trânsito para dados sensíveis - **LGPD (Lei 13.709/2018)** - Violação de criptografia que resulte em exposição de dados pessoais configura incidente notificável à ANPD ### Recomendações para redes brasileiras 1. **Auditoria imediata** de dispositivos Cisco IOS/IOS-XE, Juniper JunOS e Fortinet FortiOS - verificar cipher suites habilitadas e comprimento de chaves 2. **Implementar CIS Benchmarks** para cada plataforma de rede em uso 3. **Subscrever alertas** do CERT.br e CTIR Gov sobre CVEs em dispositivos de rede 4. **Verificar firmware** de dispositivos adquiridos especialmente via supply chain não direta (revenda, marketplace) ## Referências - [MITRE ATT&CK - T1600](https://attack.mitre.org/techniques/T1600/) - [MITRE ATT&CK - T1600.001 - Reduce Key Space](https://attack.mitre.org/techniques/T1600/001/) - [MITRE ATT&CK - T1600.002 - Disable Crypto Hardware](https://attack.mitre.org/techniques/T1600/002/) - [US-CERT TA18-106A - Russian State-Sponsored Cyber Actors Targeting Network Infrastructure](https://www.cisa.gov/uscert/ncas/alerts/TA18-106A) - [FBI/CISA/NSA - Volt Typhoon Living Off the Land (2023)](https://www.cisa.gov/sites/default/files/2024-03/aa24-038a_csa_prc_state_sponsored_cyber_actors.pdf) - [VPNFilter Malware Analysis - Talos Intelligence](https://blog.talosintelligence.com/2018/05/VPNFilter.html) - [CTIR Gov - Alertas de Segurança](https://www.ctir.gov.br/alertas) **Técnicas relacionadas:** [[t1601-modify-system-image|T1601 - Modify System Image]], [[t1040-network-sniffing|T1040 - Network Sniffing]], [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]], [[t1600-001-reduce-key-space|T1600.001 - Reduce Key Space]], [[t1600-002-disable-crypto-hardware|T1600.002 - Disable Crypto Hardware]] **Grupos:** [[g0007-apt28|APT28]], [[g1017-volt-typhoon|Volt Typhoon]] --- *Fonte: [MITRE ATT&CK - T1600](https://attack.mitre.org/techniques/T1600)*