Grupo chinês de ciberespionagem revela operações globais

TEMP.Periscope visa as eleições e a política do Camboja; grupo está ativo desde 2013 e ataca principalmente companhias marítimas de várias verticais, empresas de engenharia, manufatura, defesa, entre outros

Compartilhar:

Pesquisadores de segurança identificaram uma série de atividades do grupo de ciberespionagem TEMP.Periscope, as quais revelam o interesse na política do Camboja. A campanha cibercriminosa visa entidades cambojanas ligadas ao sistema eleitoral do país, como as encarregadas de supervisionar as eleições, bem como o direcionamento de figuras da oposição. Esta descoberta se dá no período que antecede as eleições gerais do país, marcadas para 29 de julho.

 

O TEMP.Periscope – ativo desde 2013 e com alvo principalmente em companhias marítimas de várias verticais, incluindo empresas de engenharia, transporte, manufatura, defesa, escritórios governamentais e universidades de pesquisa –, utilizou-se da mesma infraestrutura apresentada em atividades anteriores, incluindo a base industrial de defesa nos Estados Unidos e uma empresa química sediada na Europa.

 

Isto indica que o grupo mantém uma extensa arquitetura de intrusões, com variedade de ferramentas maliciosas para segmentar um extenso número de vítimas, o que está de acordo com os esforços típicos de persistência avançada (APT, sigla em inglês) baseados na China.

 

A análise da FireEye compreendeu três servidores, os quais acreditam serem controlados pelo TEMP.Periscope, que resultou em insights sobre os objetivos do grupo, com táticas operacionais, atribuição e validação técnica. Revelou ainda um potencial endereço IP de um ator localizado em Hainan, na China. Bem como dados de vítimas que incluíam potenciais comprometimentos de indústrias adicionais nos setores de educação, aviação, química, defesa, governo, marítimo e tecnologia em várias regiões.

 

Organizações eleitorais do Camboja – Os registros de vítimas associados aos servidores identificados pelos pesquisadores, revelam o comprometimento de várias entidades cambojanas, principalmente aquelas relacionadas às eleições de julho de 2018. Além disso, um e-mail contendo spear phishing indica a segmentação simultânea de figuras da oposição no Camboja.

 

Dentre as organizações governamentais e indivíduos cambojanos comprometidos estão:

 

– Comissão Nacional de Eleições, Ministério do Interior, Ministério dos Negócios Estrangeiros e Cooperação Internacional, Senado do Camboja, Ministério da Economia e Finanças;

 

– Membro do Parlamento representando o Partido de Resgate Nacional do Camboja;

 

– Vários cambojanos que defendem os direitos humanos e a democracia que escreveram criticamente sobre o atual partido no poder;

 

– Dois diplomatas cambojanos servindo no exterior;

 

– Organizações de mídia do Camboja.

 

Conclusão

 

A atividade descoberta fornece novas informações sobre a ação do TEMP.Periscope. Anteriormente, destacava-se o interesse desse ator em assuntos marítimos. Entretanto, o ataque às organizações políticas do Camboja, indicam que ele também tem como alvo o sistema político de países estrategicamente importantes. O Camboja, por sua vez, tem atuado como um defensor confiável da posição do Mar do Sul da China em fóruns internacionais como a ASEAN, e é um parceiro importante.

 

Embora o Camboja seja classificado como Autoritário pelo Índice de Democracia do Economista, a recente surpresa do partido no poder na Malásia pode motivar a China a acompanhar de perto as eleições de 29 de julho. O direcionamento da comissão eleitoral é particularmente significativo, dado o papel crítico que desempenha na mediação da votação. Ainda não há informações suficientes para determinar por que a organização foi comprometida – simplesmente reunindo informações de inteligência ou como parte de uma operação mais complexa. Independentemente disso, esse incidente é o exemplo mais recente de coleta agressiva de Estados-Nação em processos eleitorais em todo o mundo. Embora a atividade relacionada à eleição tenha sido descoberta apenas no sudeste da Ásia, seria um erro assumir que essas ameaças não são relevantes em outros lugares.

 

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade no Google Cloud pode comprometer milhões de servidores, alerta Laboratório

Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização...
Security Report | Overview

“Como toda tecnologia, deepfake pode ser perigoso”, diz ex-CIO da Casa Branca

Theresa Payton, primeira mulher a assumir o cargo e especialista na defesa contra hackers, apontou como a tecnologia tem sido...
Security Report | Overview

Mascaramento de dados pode ajudar na proteção de dados e conformidade com LGPD?

O mascaramento de dados, que consiste em evitar ataques cibernéticos nas empresas ao substituir informações sensíveis por dados fictícios com...
Security Report | Overview

Agosto registrou mais de R$ 200 milhões em tentativas de fraude no e-commerce

Apesar da redução de 8,4% frente a 2023, o valor do ticket médio dos pedidos fraudulentos teve um aumento de...