Campanha de ciberespionagem chinesa na Rússia tem agora como alvo os Institutos de Investigação de Defesa

A Check Point Research (CPR), detetou uma operação de ciberespionagem em curso, que tem como alvo os institutos de investigação de defesa russos.

Atribuída a agentes de estado-nação chineses, a operação utiliza e-mails phishing direcionados enviados sob o disfarce do Ministério da Saúde russo para recolher informação sensível.

Os e-mails identificados pela CPR continham documentos maliciosos que utilizam as sanções ocidentais contra a Rússia como isco, entre outras técnicas de manipulação.

Os atacantes conseguiram escapar à deteção durante quase 11 meses, utilizando novas e indocumentadas ferramentas que a CPR detalha agora pela primeira vez.

A CPR chamou à campanha “Twisted Panda” para refletir a sofisticação das ferramentas observadas e rastreadas até à China.

Cibersegurança russia
Publicidade

Conheça os detalhes da campanha “Twisted Panda” lançada contra a Rússia

Os alvos

A CPR identificou três alvos de investigação de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma sociedade holding dentro do conglomerado de defesa estatal russo chamado Rostec Corporation, que é a maior sociedade holding russa na indústria radioeletrónica.

A principal área de negócio das vítimas russas é o desenvolvimento e fabrico de sistemas eletrónicas para guerra, equipamento radioeletrónico de bordo especializado para fins militares, estações de radar aéreas e meios de identificação de estados.

As entidades de investigação estão também envolvidas em sistemas aeronáuticos de aviação civil, no desenvolvimento de uma variedade de produtos civis, tais como equipamentos médicos e sistemas de controlo para as indústrias de energia, transporte e engenharia. 

ciberseguranca ataques informáticos segurança informatica hack hacker ransomware

Metodologia de ataque

Inicialmente, os atacantes enviam aos seus alvos um e-mail de phishing criado especificamente para o recetor.

O e-mail contém um documento que utiliza as sanções ocidentais contra a Rússia como isco. Quando a vítima abre o documento, é descarregado um código malicioso proveniente de um servidor controlado pelo atacante, que instala e corre secretamente um backdoor no computador da vítima.

Este backdoor recolhe os dados sobre a máquina infetada, enviando-os de volta para o atacante. Depois, com base nesta informação, o atacante pode ainda utilizar o backdoor para executar vários comandos no computador da vítima ou recolher dados sensíveis a partir dela. 

E-mails maliciosos

Os agentes utilizam e-mails maliciosos de phishing que utilizam técnicas de manipulação para chegar ao seu objetivo.

A 23 de Março, foram enviados e-mails maliciosos a vários institutos de investigação de defesa sediados na Rússia.

Os e-mails que tinham como assunto “Lista de pessoas de   sob sanções dos EUA por invasão da Ucrânia”, e continham um link para um site controlado por atacantes que imitava o Ministério da Saúde da Rússia, bem como um documento malicioso anexado.

No mesmo dia, um e-mail semelhante foi também enviado a uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Estados Unidos propagam agentes patogénicos mortais na Bielorrússia”.

Todos os documentos em anexo foram elaborados para parecerem documentos oficiais do Ministério da Saúde russo, com o seu emblema e título oficial. 

ciberseguranca ransomware virus locker codigo memento

Atribuição do ataque

As Táticas, Técnicas e Procedimentos (TTPs) desta operação permitiram à CPR atribuir a campanha à atividade APT chinesa.

A Twisted Panda tem múltiplas sobreposições com agentes de ciberespionagem chineses avançados e de longa data, incluindo APT10 e Mustang Panda. 

Expusemos uma operação de espionagem em curso contra institutos de investigação de defesa russos levada a cabo por experientes e sofisticados agentes de ameaça apoiados pela China. A nossa investigação mostra que isto faz parte de uma operação de maior escala que está em curso há cerca de um ano contra entidades relacionadas com a Rússia. Descobrimos duas instituições de investigação de defesa na Rússia e uma entidade na Bielorrússia,”

“Talvez a parte mais sofisticada da campanha seja a componente de manipulação social. O timing dos ataques e os iscos utilizados são inteligentes. De um ponto de vista técnico, a qualidade das ferramentas e a sua ofuscação está acima da média, mesmo para grupos APT. Creio que as nossas descobertas servem como mais provas de que a espionagem é um esforço sistemático e a longo prazo que faz parte dos objetivos estratégicos da China para alcançar a superioridade tecnológica. Nesta investigação, vimos como os atacantes patrocinados pelo Estado chinês estão a tirar partido da guerra em curso entre a Rússia e a Ucrânia, libertando ferramentas avançadas contra quem é considerado um parceiro estratégico – a Rússia..” termina o responsável.

Itay Cohen, Head of Research na Check Point Software

Partilhe este artigo

Techbit
RECEBA AS PRINCIPAIS NOTÍCIAS TECNOLÓGICAS NO SEU EMAIL
Invalid email address
Prometemos não fazer spam e enviar apenas os conteúdos essenciais

Deixe um comentário

Publicidade