A Check Point Research tem evidências que sugerem que a sede da Força Aérea paquistanesa foi vítima de um ataque bem-sucedido perpetrado pelo SideWinder, um grupo APT que se suspeita estar sediado na Índia.
SideWinder: Grupo APT indiano suspeito
O SideWinder é um grupo de ameaça persistente avançada (APT) que concentra os seus alvos nas organizações públicas do Paquistão e da China. No final de março deste ano, a CPR publicou uma análise de um documento malicioso disseminado pelo grupo que se aproveitava do conflito entre Rússia e Ucrânia. Os alvos pretendidos do ataque eram entidades paquistanesas. O documento usado como isca fazia com que o grupo se passasse pelo Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e continha o seguinte título: “Impacto do conflito russo na Ucrânia sobre o Paquistão”.
Os arquivos suspeitos
Agora, a CPR tem evidências que levam a crer que o grupo atacou a Força Aérea paquistanesa. “As conclusões resultam da análise de arquivos submetidos na plataforma VirusTotal, um serviço gratuito que permite identificar conteúdo malicioso e vários arquivos e URLs. A CPR encontrou evidências que associavam os arquivos ao grupo APT SideWinder, conhecido por visar as entidades paquistanesas e suspeito de ter sede na Índia”, comenta Itay Cohen, chefe de pesquisa da Check Point Software.
Um dos arquivos desencriptados pela CPR foi produzido por um malware do tipo InfoStealer utilizado exclusivamente por este grupo, e continha uma lista de todos os arquivos relevantes extraídos do computador infectado. A maioria dos arquivos estava relacionado com a indústria militar, instalações nucleares, ensino superior, história da guerra, entre outros. Alguns deles apontavam ainda para documentos do “Chairman Joint Chiefs of Staff Committee”, alegadamente o cargo mais elevado das forças armadas paquistanesas.
A CPR suspeita que o grupo tenha acessado um dispositivo infectado, a partir do qual chegou ao drive da organização, utilizado amplamente pelas pessoas que lá trabalham.
As vítimas
A partir dos nomes dos arquivos e diretórios, foi possível à CPR conhecer os nomes de usuário que pertencem à vítima, incluindo AHQ-STRC3. Isto, para além de outros elementos nos nomes dos arquivos, parece sugerir que AHQ significa Sede Aérea do Paquistão, que é a sede da Força Aérea do Paquistão. Existem também documentos que mencionam explicitamente o quartel-general aéreo nos seus nomes de arquivo, reforçando a ligação entre o “AHQ” no nome de usuário da Força Aérea Paquistanesa.
As investigações encontraram um nome de usuário adicional chamado “gnss” que não produziu nenhuma pista útil, embora outra suspeita possa ser que isto se refere ao “sistema global de navegação por satélite”. Os arquivos vistos também tinham nomes relacionados com comunicações via satélite, implicando dados em torno disto.
Apesar de a análise dos arquivos de malware carregados no VirusTotal revele frequentemente a identidade dos alvos da campanha de ataque, é pouco comum expor também provas de que o ataque foi realmente bem-sucedido. Neste caso, a CPR viu que um arquivo log, produzido pelo malware, expôs a identidade das vítimas, incluindo nomes de documentos e sistemas críticos.
Isto leva a CPR a assumir que a intrusão foi eventualmente detectada e analisada pela vítima ou por analistas de segurança que operam em seu nome.
Dicas essenciais para a proteção contra os ataques de phishing
Ainda que não se saiba ao certo a forma de penetração utilizada inicialmente pelos atacantes, a Check Point Software relembra três dicas essenciais aplicáveis sempre que se está diante de uma suspeita de phishing.
1) Não responder, nem clicar em links ou abrir anexos.
2) Comunicar o e-mail suspeito à equipa de TI ou de segurança.
3) Depois de o relatar, eliminar/apagar o e-mail suspeito.
