Os pesquisadores da Check Point interceptaram um ciberataque direcionado por um grupo chinês especialistas em desenvolvimento de APT a uma entidade do setor público na Mongólia. Aproveitando a pandemia de Coronavírus, esse grupo chinês enviou dois documentos, ambos passando-se pelo Ministério das Relações Exteriores da Mongólia, na forma de briefings à imprensa, para o pessoal do setor público da Mongólia, obtendo desta maneira, acesso remoto à rede e com uma finalidade, roubar informações confidenciais.
Um dos dois documentos relacionados ao COVID-19 tinha o título “Sobre a disseminação de novas infecções por Coronavírus” (traduzido do idioma inglês) e foi mencionado no Comitê Nacional de Saúde da China.
Os pesquisadores conseguiram rastrear o ciberataque ao grupo chinês, extraindo impressões digitais deixadas pelos atacantes no código do malware armazenado em seus servidores, os quais permaneceram publicados na Internet por uma pequena fração de tempo. Por meio dos dados coletados, os pesquisadores descobriram toda a cadeia de infecção, deduzindo que o grupo chinês está ativo desde 2016 e tem o hábito constante de atingir uma variedade de entidades do setor público e empresas de telecomunicações em todo o mundo: Rússia, Ucrânia, Bielorrússia e, agora, Mongólia.
“O COVID-19 está apresentando não apenas uma ameaça física, mas, também, uma ciberameaça”, diz Lotem Finkelsteen, chefe de inteligência de ameaças da Check Point. “Nossa inteligência revela que um grupo chinês, especializado em desenvolvimento de APT, explorou o interesse público no Coronavírus para sua própria agenda por meio de uma nova cadeia de infecções cibernéticas. O grupo tem como alvo não apenas a Mongólia, mas outros países em todo o mundo. Todas as entidades do setor público e empresas de telecomunicações em todos os lugares devem ter cuidado extra com documentos e sites com temas sobre o Coronavírus.”
A Check Point determinou que os domínios relacionados ao Coronavírus são 50% mais maliciosos que a taxa geral de domínios maliciosos registrados. Até o momento, a companhia apontou mais de 4.000 domínios relacionados ao Coronavírus registrados globalmente – 3% dos quais são maliciosos e outros 5% são suspeitos. A média do setor de novos domínios registrados maliciosos é de 2%.