Hackers chineses tentaram roubar dados de defesa russos

Relatório revela que a campanha apresenta várias coordenações com cibercriminosos de espionagem cibernética avançada chinesa, como APT10 e Mustang Panda

Compartilhar:

A Check Point Research detectou uma operação de espionagem cibernética visando os Institutos de Pesquisa de Defesa da Rússia atualmente ativos. Atribuída a cibercriminosos do Estado-Nação chinês, a operação conta com técnicas de engenharia social para roubar informações confidenciais, especificamente iscas relacionadas às sanções ocidentais à Rússia.

 

Os atacantes conseguiram evitar a detecção por quase 11 meses usando ferramentas inéditas, um carregador multicamada sofisticado e um backdoor apelidado de SPINNER. Os pesquisadores da CPR nomearam esta campanha de “Twisted Panda” para refletir a sofisticação das ferramentas e sua atribuição à China.

 

A Check Point Research identificou três alvos de pesquisa de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma holding de defesa estatal russa chamada Rostec Corporation, que é o maior conglomerado da Rússia na indústria de radioeletrônica. O principal negócio das vítimas russas é o desenvolvimento e a fabricação de sistemas eletrônicos para fins de guerra, equipamentos radioeletrônicos especializados militares, estações de radar baseadas e meios de identificação do estado. Os institutos de pesquisa também estão envolvidos em sistemas para aviação civil, no desenvolvimento de uma variedade de produtos civis, como equipamentos médicos e sistemas de controle para indústrias de energia, transporte e engenharia.

 

Metodologia dos atacantes chineses

 

Para realizar o ataque, os cibercriminosos enviam a seus alvos um e-mail de phishing contendo um documento que usa as sanções ocidentais contra a Rússia como isca. Quando a vítima abre o documento, ela baixa o código malicioso do servidor controlado pelo atacante, que instala e executa secretamente um backdoor na máquina da vítima. Esse backdoor coleta os dados sobre o dispositivo infectado e os envia de volta ao cibercriminoso. Em seguida, com base nessas informações, o atacante pode executar comandos adicionais ou coletar dados confidenciais dele. Os atacantes chineses têm feito espionagem cibernética contra a Rússia há 11 meses.

 

Essa ameaça se aproveita de e-mails maliciosos de spear-phishing que usam técnicas de engenharia social. Em 23 de março deste ano, e-mails maliciosos foram enviados a vários institutos de pesquisa de defesa baseados na Rússia com a linha de assunto “Lista de pessoas de <nome do instituto-alvo> sujeitas às sanções dos EUA por invadir a Ucrânia”, contendo um link para um site controlado por atacantes imitando o Ministério da Saúde da Rússia, bem como um documento malicioso anexado. No mesmo dia, um e-mail semelhante também foi enviado para uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Disseminação de patógenos mortais na Bielorrússia pelos EUA”. Todos os documentos anexados foram elaborados para se parecerem com documentos oficiais do Ministério da Saúde da Rússia, com seu emblema e título oficial.

 

Atribuição

 

As Táticas, Técnicas e Procedimentos (TTPs) desta operação permitem que a CPR a atribua  ao APT chinês. A campanha “Twisted Panda” apresenta várias coordenações com atacantes chineses de ciberespionagem avançada e de longa data, incluindo APT10 e Mustang Panda.

 

“Expusemos uma operação de espionagem em andamento contra institutos de pesquisa de defesa russos que foi realizada por cibercriminosos experientes e sofisticados apoiados pela China. Nossa investigação mostra que isso faz parte de uma operação maior que tem como alvo entidades relacionadas à Rússia há cerca de um ano. Descobrimos duas instituições de pesquisa de defesa direcionadas na Rússia e uma entidade na Bielorrússia”, relata Itay Cohen, chefe de pesquisa da Check Point Software.

 

“Talvez a parte mais sofisticada da campanha seja o componente de engenharia social. O momento dos ataques e as iscas usadas são inteligentes. Do ponto de vista técnico, a qualidade das ferramentas está acima da média, mesmo para grupos APT. Acredito que nossas descobertas servem como mais uma evidência de que a espionagem é um esforço sistemático e de longo prazo a serviço dos objetivos estratégicos da China para alcançar a superioridade tecnológica. Nesta pesquisa, vimos como os atacantes chineses patrocinados pelo Estado estão aproveitando a guerra em andamento entre a Rússia e a Ucrânia, liberando ferramentas avançadas contra quem é considerado um parceiro estratégico: a Rússia.”

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...