[bsa_pro_ad_space id=3 delay=8]

Força Aérea paquistanesa é vítima de ataque cibernético

A CPR encontrou evidências que associavam os arquivos ao grupo APT SideWinder, conhecido por visar as entidades paquistanesas e suspeito de ter sede na Índia

Compartilhar:

A Check Point Research tem evidências que sugerem que a sede da Força Aérea paquistanesa foi vítima de um ataque bem-sucedido perpetrado pelo SideWinder, um grupo APT que se suspeita estar sediado na Índia.

 

SideWinder: Grupo APT indiano suspeito

 

O SideWinder é um grupo de ameaça persistente avançada (APT) que concentra os seus alvos nas organizações públicas do Paquistão e da China. No final de março deste ano, a CPR publicou uma análise de um documento malicioso disseminado pelo grupo que se aproveitava do conflito entre Rússia e Ucrânia. Os alvos pretendidos do ataque eram entidades paquistanesas. O documento usado como isca fazia com que o grupo se passasse pelo Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e continha o seguinte título: “Impacto do conflito russo na Ucrânia sobre o Paquistão”.

 

Os arquivos suspeitos

 

Agora, a CPR tem evidências que levam a crer que o grupo atacou a Força Aérea paquistanesa. “As conclusões resultam da análise de arquivos submetidos na plataforma VirusTotal, um serviço gratuito que permite identificar conteúdo malicioso e vários arquivos e URLs. A CPR encontrou evidências que associavam os arquivos ao grupo APT SideWinder, conhecido por visar as entidades paquistanesas e suspeito de ter sede na Índia”, comenta Itay Cohen, chefe de pesquisa da Check Point Software.

 

Um dos arquivos desencriptados pela CPR foi produzido por um malware do tipo InfoStealer utilizado exclusivamente por este grupo, e continha uma lista de todos os arquivos relevantes extraídos do computador infectado. A maioria dos arquivos estava relacionado com a indústria militar, instalações nucleares, ensino superior, história da guerra, entre outros. Alguns deles apontavam ainda para documentos do “Chairman Joint Chiefs of Staff Committee”, alegadamente o cargo mais elevado das forças armadas paquistanesas.

 

A CPR suspeita que o grupo tenha acessado um dispositivo infectado, a partir do qual chegou ao drive da organização, utilizado amplamente pelas pessoas que lá trabalham.

 

As vítimas

 

A partir dos nomes dos arquivos e diretórios, foi possível à CPR conhecer os nomes de usuário que pertencem à vítima, incluindo AHQ-STRC3. Isto, para além de outros elementos nos nomes dos arquivos, parece sugerir que AHQ significa Sede Aérea do Paquistão, que é a sede da Força Aérea do Paquistão. Existem também documentos que mencionam explicitamente o quartel-general aéreo nos seus nomes de arquivo, reforçando a ligação entre o “AHQ” no nome de usuário da Força Aérea Paquistanesa.

 

As investigações encontraram um nome de usuário adicional chamado “gnss” que não produziu nenhuma pista útil, embora outra suspeita possa ser que isto se refere ao “sistema global de navegação por satélite”. Os arquivos vistos também tinham nomes relacionados com comunicações via satélite, implicando dados em torno disto.

 

Apesar de a análise dos arquivos de malware carregados no VirusTotal revele frequentemente a identidade dos alvos da campanha de ataque, é pouco comum expor também provas de que o ataque foi realmente bem-sucedido. Neste caso, a CPR viu que um arquivo log, produzido pelo malware, expôs a identidade das vítimas, incluindo nomes de documentos e sistemas críticos.

 

Isto leva a CPR a assumir que a intrusão foi eventualmente detectada e analisada pela vítima ou por analistas de segurança que operam em seu nome.

 

Dicas essenciais para a proteção contra os ataques de phishing

 

Ainda que não se saiba ao certo a forma de penetração utilizada inicialmente pelos atacantes, a Check Point Software relembra três dicas essenciais aplicáveis sempre que se está diante de uma suspeita de phishing.

 

1) Não responder, nem clicar em links ou abrir anexos.

2) Comunicar o e-mail suspeito à equipa de TI ou de segurança.

3) Depois de o relatar, eliminar/apagar o e-mail suspeito.

Conteúdos Relacionados

Security Report | Overview

50% dos profissionais financeiros foram alvos de incidentes cibernéticos em 2023

Diante dos desafios da transformação tecnológicos, a Genetec ponta como caminho a convergência das soluções de segurança patrimonial e cibernética...
Security Report | Overview

Malwares focam esforços aos serviços de nuvem em telecom, revela estudo

Segundo informou a análise de ameaças da Netskope, o setor possui uma margem de 7% no número de ataques em...
Security Report | Overview

Risco de Ciberataques nas Olimpíadas reforçam demanda por Segurança preventiva

Eventos internacionais de grande porte como os Jogos Olímpicos tendem a se tornar importantes alvos do cibercrime, devido à exposição...
Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...