A Check Point Research (CPR), detetou uma operação de ciberespionagem em curso, que tem como alvo os institutos de investigação de defesa russos.
Atribuída a agentes de estado-nação chineses, a operação utiliza e-mails phishing direcionados enviados sob o disfarce do Ministério da Saúde russo para recolher informação sensível.
Os e-mails identificados pela CPR continham documentos maliciosos que utilizam as sanções ocidentais contra a Rússia como isco, entre outras técnicas de manipulação.
Os atacantes conseguiram escapar à deteção durante quase 11 meses, utilizando novas e indocumentadas ferramentas que a CPR detalha agora pela primeira vez.
A CPR chamou à campanha “Twisted Panda” para refletir a sofisticação das ferramentas observadas e rastreadas até à China.
Conheça os detalhes da campanha “Twisted Panda” lançada contra a Rússia
Os alvos
A CPR identificou três alvos de investigação de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma sociedade holding dentro do conglomerado de defesa estatal russo chamado Rostec Corporation, que é a maior sociedade holding russa na indústria radioeletrónica.
A principal área de negócio das vítimas russas é o desenvolvimento e fabrico de sistemas eletrónicas para guerra, equipamento radioeletrónico de bordo especializado para fins militares, estações de radar aéreas e meios de identificação de estados.
As entidades de investigação estão também envolvidas em sistemas aeronáuticos de aviação civil, no desenvolvimento de uma variedade de produtos civis, tais como equipamentos médicos e sistemas de controlo para as indústrias de energia, transporte e engenharia.
Metodologia de ataque
Inicialmente, os atacantes enviam aos seus alvos um e-mail de phishing criado especificamente para o recetor.
O e-mail contém um documento que utiliza as sanções ocidentais contra a Rússia como isco. Quando a vítima abre o documento, é descarregado um código malicioso proveniente de um servidor controlado pelo atacante, que instala e corre secretamente um backdoor no computador da vítima.
Este backdoor recolhe os dados sobre a máquina infetada, enviando-os de volta para o atacante. Depois, com base nesta informação, o atacante pode ainda utilizar o backdoor para executar vários comandos no computador da vítima ou recolher dados sensíveis a partir dela.
E-mails maliciosos
Os agentes utilizam e-mails maliciosos de phishing que utilizam técnicas de manipulação para chegar ao seu objetivo.
A 23 de Março, foram enviados e-mails maliciosos a vários institutos de investigação de defesa sediados na Rússia.
Os e-mails que tinham como assunto “Lista de pessoas de <nome do instituto alvo> sob sanções dos EUA por invasão da Ucrânia”, e continham um link para um site controlado por atacantes que imitava o Ministério da Saúde da Rússia, bem como um documento malicioso anexado.
No mesmo dia, um e-mail semelhante foi também enviado a uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Estados Unidos propagam agentes patogénicos mortais na Bielorrússia”.
Todos os documentos em anexo foram elaborados para parecerem documentos oficiais do Ministério da Saúde russo, com o seu emblema e título oficial.
Atribuição do ataque
As Táticas, Técnicas e Procedimentos (TTPs) desta operação permitiram à CPR atribuir a campanha à atividade APT chinesa.
A Twisted Panda tem múltiplas sobreposições com agentes de ciberespionagem chineses avançados e de longa data, incluindo APT10 e Mustang Panda.
Participe no passatempo:“Expusemos uma operação de espionagem em curso contra institutos de investigação de defesa russos levada a cabo por experientes e sofisticados agentes de ameaça apoiados pela China. A nossa investigação mostra que isto faz parte de uma operação de maior escala que está em curso há cerca de um ano contra entidades relacionadas com a Rússia. Descobrimos duas instituições de investigação de defesa na Rússia e uma entidade na Bielorrússia,”
“Talvez a parte mais sofisticada da campanha seja a componente de manipulação social. O timing dos ataques e os iscos utilizados são inteligentes. De um ponto de vista técnico, a qualidade das ferramentas e a sua ofuscação está acima da média, mesmo para grupos APT. Creio que as nossas descobertas servem como mais provas de que a espionagem é um esforço sistemático e a longo prazo que faz parte dos objetivos estratégicos da China para alcançar a superioridade tecnológica. Nesta investigação, vimos como os atacantes patrocinados pelo Estado chinês estão a tirar partido da guerra em curso entre a Rússia e a Ucrânia, libertando ferramentas avançadas contra quem é considerado um parceiro estratégico – a Rússia..” termina o responsável.
Itay Cohen, Head of Research na Check Point Software
