A Symantec identificou um grupo até então desconhecido, o SowBug, e que tem conduzido ataques cibernéticos altamente direcionados contra organizações da América do Sul e do Sudeste Asiático, mais especificamente instituições de política externa e alvos diplomáticos. A Symantec identificou o SowBug hospedando arquivos de espionagem clássicos capazes de roubar documentos das organizações nas quais se infiltra.
A companhia percebeu a primeira evidência relacionada ao SowBug com uma atividade suspeita de um novo malware chamado Felismus, em março de 2017. O malware foi usado contra um alvo no Sudeste Asiático. Posteriormente, foram identificadas mais vítimas em ambos os lados do Oceano Pacífico. Enquanto a ferramenta Felismus foi identificada inicialmente em março deste ano, sua associação com SowBug era desconhecida até agora. A Symantec também identificou ligação entre campanhas de ataque anteriores e o grupo, demonstrando que ele está ativo desde a metade no ano de 2015 e pode ter iniciados suas atividades ainda antes.
Até o momento, o SowBug parece estar focado principalmente em entidades governamentais da América do Sul e do Sudeste Asiático e tem organizações infiltradas na Argentina, Brasil, Equador, Peru, Brunei e na Malásia. O grupo possui recursos suficientes para infiltrar múltiplos alvos simultaneamente e, muitas vezes, opera fora do horário de trabalho das organizações direcionadas para se manter imperceptível.
Invasão altamente direcionada
Algumas pistas sobre a motivação e os interesses dos invasores podem ser encontradas em seus ataques. Em um ataque a um ministério das Relações Exteriores da América do Sul em 2015, por exemplo, o modo de ataque indicou que o grupo estava procurando por informações muito específicas.
Apesar da primeira evidência de sua invasão ser em 6 de maio de 2015, a atividade ficou mais intensa em 12 de maio do mesmo ano. Os invasores pareciam estar interessados em uma divisão do ministério responsável pelas relações com a região da Ásia-Pacífico. Eles tentaram extrair todos os documentos em Word armazenados em um servidor de arquivos pertencente a esta divisão agrupando-os em um arquivo RAR e executando o seguinte comando:
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[EDITADO].rar “\\[EDITADO]\*.docx” \\[EDITADO]\*.doc
Curiosamente, o comando especificou que somente arquivos modificados a partir de 11 de maio de 2015 em diante deveriam ser arquivados. Os invasores parecem ter extraído com sucesso o arquivo, já que uma hora depois eles retornaram, desta vez tentando extrair todos os documentos modificados a partir de 7 de maio de 2015. Isto indica que eles não encontraram o que estavam procurando na incursão inicial, ou então notaram algo nos documentos que roubaram anteriormente que os levou a buscar mais informações.
Os invasores não pararam por aí. O próximo passo foi listar todas as unidades compartilhadas remotas e, em seguida, tentar acessar compartilhamentos remotos pertencentes ao escritório do governo que era o alvo do grupo, tentando novamente extrair todos os documentos em Word. Nesse caso, eles procuraram por qualquer documento modificado a partir de 9 de maio, mas incluíram também buscas em uma outra divisão do ministério das Relações Exteriores da América do Sul, responsável por relações com organizações internacionais. Eles também implantaram duas cargas de dados desconhecidos no servidor infectado. No total, os invasores mantiveram a presença na rede do alvo durante quatro meses, entre maio e setembro de 2015.
Network transversal: Mantendo-se invisível
O SowBug frequentemente mantém uma presença de longo prazo nas redes de organizações, às vezes fica até seis meses dentro de um ambiente atacado. Uma das táticas que usa para evitar chamar a atenção é representar pacotes de software comuns, como Windows ou Adobe Reader. O grupo nunca tentou violar o próprio software, ao invés disso, nomeia suas ferramentas com nomes de arquivos semelhantes aos usados pelo software e os coloca em árvores de diretórios que podem ser confundidas com as usadas pelo software legítimo. Isso permite que os invasores fiquem invisíveis, já que sua aparência não aparenta suspeita.
Por exemplo, em setembro de 2016, o SowBug infiltrou uma organização na Ásia implantando o backdoor Felismus em um de seus computadores usando o nome do arquivo:adobecms.exe em CSIDL_WINDOWS \ debug. A partir daí, instalou componentes e ferramentas adicionais em um diretório chamado CSIDL_APPDATA \ microsoft \ security.
Os invasores então começaram a executar atividades de reconfiguração no computador por meio do comando cmd.exe, coletando informações como versão do sistema operacional, configuração de hardware e dados de rede. O próximo passo foi tentar identificar todos os aplicativos instalados no computador. Eles retornaram quatro dias depois, criando um subdiretório chamado “comum” no diretório Adobe da pasta Arquivos de Programas, ou seja, c: \ Arquivos de Programas \ Adobe \ common, e instalaram outra ferramenta neste subdiretório, novamente chamado adobecms.exe. Esta foi possivelmente uma versão atualizada do backdoor.
Os invasores instalaram ainda um executável chamado fb.exe, aparentemente para copiar o Felismus por meio da rede para outros computadores. Há evidências de que os invasores o usaram para tentar infectar pelo menos mais dois computadores. Nesse caso, eles mantiveram presença na rede do alvo por quase seis meses entre setembro de 2016 e março de 2017.
Vetores de infração
Ainda não é conhecido como o SowBug realiza a infiltração inicial. Em alguns casos, não havia nenhum rastro de como o Felismus abriu caminho em computadores corrompidos, o que significa que provavelmente foi implantado a partir de outros computadores danificados na rede. Em outros ataques, havia evidências de que o malware foi instalado usando uma ferramenta conhecida como Starloader (detectada pela Symantec como Trojan.Starloader). Este é um carregador que instala e desencripta dados de um arquivo chamado Stars.jpg. Além disso, Starloader também foi observado implementando ferramentas adicionais usadas pelos atacantes, como dumpers de credenciais e keyloggers.
Também é desconhecido como o Starloader é instalado no computador danificado. Uma possibilidade é que os invasores usem falsas atualizações de software para instalar arquivos. A Symantec encontrou evidências de arquivos do Starloader sendo nomeados AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE entre outros. Estes foram usados para criar versões do backdoor do Felismus, bem como outras ferramentas.
Ameaça global
Enquanto os ataques de espionagem cibernética são frequentemente vistos contra alvos nos EUA, Europa e Ásia, é muito menos comum ver países sul-americanos serem alvo. No entanto, o número de operações ativas de ciberespionagem aumentou de forma constante nos últimos anos e o surgimento do SowBug é um lembrete de que nenhuma região é imune a este tipo de ameaça.