Campanha de ciberespionagem chinesa na Rússia tem agora como alvo os Institutos de Investigação de Defesa

A Check Point Research (CPR), detetou uma operação de ciberespionagem em curso, que tem como alvo os institutos de investigação de defesa russos.

Atribuída a agentes de estado-nação chineses, a operação utiliza e-mails phishing direcionados enviados sob o disfarce do Ministério da Saúde russo para recolher informação sensível.

Os e-mails identificados pela CPR continham documentos maliciosos que utilizam as sanções ocidentais contra a Rússia como isco, entre outras técnicas de manipulação.

Os atacantes conseguiram escapar à deteção durante quase 11 meses, utilizando novas e indocumentadas ferramentas que a CPR detalha agora pela primeira vez.

A CPR chamou à campanha “Twisted Panda” para refletir a sofisticação das ferramentas observadas e rastreadas até à China.

Cibersegurança russia
Publicidade

Conheça os detalhes da campanha “Twisted Panda” lançada contra a Rússia

Os alvos

A CPR identificou três alvos de investigação de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma sociedade holding dentro do conglomerado de defesa estatal russo chamado Rostec Corporation, que é a maior sociedade holding russa na indústria radioeletrónica.

A principal área de negócio das vítimas russas é o desenvolvimento e fabrico de sistemas eletrónicas para guerra, equipamento radioeletrónico de bordo especializado para fins militares, estações de radar aéreas e meios de identificação de estados.

As entidades de investigação estão também envolvidas em sistemas aeronáuticos de aviação civil, no desenvolvimento de uma variedade de produtos civis, tais como equipamentos médicos e sistemas de controlo para as indústrias de energia, transporte e engenharia. 

ciberseguranca ataques informáticos segurança informatica hack hacker ransomware

Metodologia de ataque

Inicialmente, os atacantes enviam aos seus alvos um e-mail de phishing criado especificamente para o recetor.

O e-mail contém um documento que utiliza as sanções ocidentais contra a Rússia como isco. Quando a vítima abre o documento, é descarregado um código malicioso proveniente de um servidor controlado pelo atacante, que instala e corre secretamente um backdoor no computador da vítima.

Este backdoor recolhe os dados sobre a máquina infetada, enviando-os de volta para o atacante. Depois, com base nesta informação, o atacante pode ainda utilizar o backdoor para executar vários comandos no computador da vítima ou recolher dados sensíveis a partir dela. 

E-mails maliciosos

Os agentes utilizam e-mails maliciosos de phishing que utilizam técnicas de manipulação para chegar ao seu objetivo.

A 23 de Março, foram enviados e-mails maliciosos a vários institutos de investigação de defesa sediados na Rússia.

Os e-mails que tinham como assunto “Lista de pessoas de   sob sanções dos EUA por invasão da Ucrânia”, e continham um link para um site controlado por atacantes que imitava o Ministério da Saúde da Rússia, bem como um documento malicioso anexado.

No mesmo dia, um e-mail semelhante foi também enviado a uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Estados Unidos propagam agentes patogénicos mortais na Bielorrússia”.

Todos os documentos em anexo foram elaborados para parecerem documentos oficiais do Ministério da Saúde russo, com o seu emblema e título oficial. 

ciberseguranca ransomware virus locker codigo memento

Atribuição do ataque

As Táticas, Técnicas e Procedimentos (TTPs) desta operação permitiram à CPR atribuir a campanha à atividade APT chinesa.

A Twisted Panda tem múltiplas sobreposições com agentes de ciberespionagem chineses avançados e de longa data, incluindo APT10 e Mustang Panda. 

Expusemos uma operação de espionagem em curso contra institutos de investigação de defesa russos levada a cabo por experientes e sofisticados agentes de ameaça apoiados pela China. A nossa investigação mostra que isto faz parte de uma operação de maior escala que está em curso há cerca de um ano contra entidades relacionadas com a Rússia. Descobrimos duas instituições de investigação de defesa na Rússia e uma entidade na Bielorrússia,”

“Talvez a parte mais sofisticada da campanha seja a componente de manipulação social. O timing dos ataques e os iscos utilizados são inteligentes. De um ponto de vista técnico, a qualidade das ferramentas e a sua ofuscação está acima da média, mesmo para grupos APT. Creio que as nossas descobertas servem como mais provas de que a espionagem é um esforço sistemático e a longo prazo que faz parte dos objetivos estratégicos da China para alcançar a superioridade tecnológica. Nesta investigação, vimos como os atacantes patrocinados pelo Estado chinês estão a tirar partido da guerra em curso entre a Rússia e a Ucrânia, libertando ferramentas avançadas contra quem é considerado um parceiro estratégico – a Rússia..” termina o responsável.

Itay Cohen, Head of Research na Check Point Software
nordvpn black friday campanha

Partilhe este artigo

Techbit
RECEBA AS PRINCIPAIS NOTÍCIAS TECNOLÓGICAS NO SEU EMAIL
Invalid email address
Prometemos não fazer spam e enviar apenas os conteúdos essenciais

Deixe um comentário

Publicidade
Blogarama - Blog Directory