Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Está em curso uma corrente de ciberataques que utiliza o logotipo das Nações Unidas para atingir o grupo étnico turco Uigures

Está em curso uma corrente de ciberataques que utiliza o logotipo das Nações Unidas para atingir o grupo étnico turco Uigures
Share it:
  • Investigadores acreditam que o objetivo último do ataque é espionagem
  • Atacantes fazem-se passar pelas Nações Unidas ou agem sob disfarce de uma fundação falsa
  • Vítimas acreditam estar a candidatar-se para uma subvenção, estando, na verdade, a instalar um backdoor malicioso
Está em curso uma corrente de ciberataques que utiliza o logotipo das Nações Unidas para atingir o grupo étnico turco Uigures
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, identificou, em colaboração com a Global Research & Analysis Team (GReAT) da Kaspersky, uma corrente de ciberataques que tem como alvo os Uigures, um grupo étnico turco em Xinjiang, China e Paquistão. Os atacantes enviam documentos maliciosos sob disfarce das Nações Unidades (UN) e de uma fundação de direitos humanos falsa, a “Turkic Culture and Heritage Foundation”, incitando os utilizadores a instalar, sem o seu conhecimento, um backdoor do software Windows que permite espiar os computadores.

Os vetores de ataque

A Check Point Research e os investigadores da Kapersky identificaram dois vetores de ataque:
  1. Documentos enviados via e-mail. São enviados por correio eletrónico documentos maliciosos cujo objetivo é descarregar para o computador um backdoor para o Windows que permite espiar o dispositivo.
  2. Através do website da fundação falsa. O website procura convencer os visitantes a fazer download de um backdoor .NET, sob pretexto de um scanner de segurança. Depois, é pedido ao utilizador para fornecer as informações pessoais necessárias à concretização de um suposto pedido de subvenção (fig. 1).

Fig. 1 Página de website falsa que serve de vetor de ataque

A investigação

A investigação começou com a descoberta de um documento malicioso chamado “UgyhurApplicationList.docx" (fig. 2). Continha o logotipo do Conselho de Direitos Humanos das Nações Unidas (UNHRC) e conteúdo falso de uma assembleia geral das Nações Unidas sobre as violações dos direitos humanos.

Fig. 2 Documento falso com o logotipo da UNHCR

A análise do documento levou os investigadores à descoberta de um website relacionado com uma fundação falsa que procura ludibriar os Uigures que querem candidatar-se a uma subvenção. A TCAHF, sigla para “Turkic Culture and Heritage Foundation”, é uma suposta organização privada que financia e apoia grupos que trabalham em prol da cultura Tukric e dos direitos humanos. Na verdade, esta fundação é totalmente inventada e a maior parte do conteúdo do website é copiado do “opensocietyfoundation.org”, uma organização, de facto, legítima (fig. 3).

Fig. 3 Comparativo entre o website falso (acima) e o legítimo (em baixo)

As vítimas

Os investigadores consideram que esta é uma campanha que visa atacar a minoria Uigur ou as organizações que a apoiam. De acordo com dados da CPR e da Kapersky, foram identificadas apenas vítimas no Paquistão e na China. Em ambos os casos, as vítimas estavam localizadas em regiões predominantemente habitadas por este grupo étnico em específico.

“O que vemos aqui são ciberatacantes a visar a comunidade Uigur. Estes ataques utilizam claramente a temática do Conselho de Direitos Humanos das Nações Humanas para enganar os utilizadores-alvo, incitando-os ao download de um malware,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Acreditamos que tenham como principal motivação a espionagem, sendo o golpe final a instalação de um backdoor nos computadores das personalidades de destaque da comunidade Uigur. A nossa investigação concluiu que os ataques são delineados para dispositivos infetados por impressão digital, incluindo todos os seus programas em execução. Do que sabemos até agora, os ataques estão a decorrer e está a ser criada uma nova infraestrutura para futuras oportunidades.”

Apesar de não terem encontrado semelhanças de código ou de infraestrutura com algum grupo de cibercriminosos já identificado, os investigadores atribuem esta atividade, com baixa a média confiança, a um agente malicioso de língua chinesa. Ao examinar o documento que iniciou a investigação, descobriram-se excertos de código semelhantes ao código VBA que aparece em múltiplos fóruns chineses, suspeitando-se que possa ter sido copiado diretamente.
Share it:

info

Post A Comment:

0 comments: