Foi através da Dropbox que o grupo conseguiu infiltrar-se na rede dos órgãos de governo afegão
A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, identificou uma operação de ciberespionagem em curso que visa o governo afegão. Os investigadores acreditam que por detrás do ataque esteja um grupo de hackers de língua chinesa conhecido por “IndigoZebra” que, através da Dropbox, consegue infiltrar-se no Conselho de Segurança Nacional do Afeganistão (NSC). Uma investigação mais aprofundada da Check Point revelou que esta atividade visa outros países da Ásia Central, como o Quirguizistão e o Uzbequistão, desde pelo menos 2014.
“Do Gabinete ao Presidente do Afeganistão”
A investigação da CPR começou em abril, quando um oficial do Concelho de Segurança Nacional do Afeganistão recebeu um e-mail alegadamente proveniente do Gabinete Administrativo do Presidente do Afeganistão. O e-mail incitava o destinatário a rever as modificações de um documento relacionado com uma conferência de imprensa futura.
 |
| Fig. 1 E-mail malicioso enviado para os funcionários do governo afegão |
A cadeia de infeção
A CPR sumariza a metodologia da operação de ciberespionagem da seguinte forma:
- Enviar e-mail sob disfarce de uma entidade high-profile. Os agentes maliciosos orquestram o engano ao estilo ministério-a-ministério, onde um e-mail é enviado para um alvo de grande visibilidade a partir das caixas de correio de outra vítima de grande visibilidade.
- Anexar ficheiros maliciosos. Os agentes maliciosos adicionam um ficheiro que contém malware que parece ser legítimo. Neste caso, o e-mail continha um anexo RAR protegido por palavra-passe chamado NSC Press conference.rar.
- Abrir o primeiro documento. O ficheiro extraído, NSC Press conference.rar, age enquanto dropper. O conteúdo utilizado como isco sugere que o ficheiro anexado é um documento. Portanto, para reduzir a suspeita do destinatário quando tem de correr o executável, os atacantes recorrem a um truque simples: o primeiro documento no ambiente de trabalho da vítima é aberto para o utilizador no momento da execução do dropper. Quer o dropper tenha encontrado um documento para abrir ou não, procederá para o próximo estágio da infeção – correr o backdoor.
- Utilizar a Dropbox como contro de comando e controlo. O backdoor comunica com uma pasta pré-configurada e única para todas as vítimas no Dropbox. Esta serve como endereço de onde o backdoor coordena o ataque e armazena a informação que rouba.
 |
| Fig. 2 Diagrama da Cadeia de Infeção |
Mascarar e persistir com a Dropbox
Os agentes maliciosos usam a API da Dropbox para mascarar as suas atividades maliciosas, no sentido de evitar que haja comunicação com sites anormais. O backdoor cria uma pasta única para a vítima numa conta Dropbox controlada pelos atacantes. Quando estes precisam de enviar um ficheiro ou comando para o dispositivo da vítima, colocam-nos numa pasta chamada “d” na Dropbox da vítima. O malware recupera esta pasta e faz download de todo o seu conteúdo para a pasta de trabalho. O backdoor estabelece a sua persistência ao definir uma chave de registo concebida para ser executada sempre que a sessão é iniciada.
Ações de ciberespionagem identificadas pela CPR
- Download e execução de uma ferramenta de scan amplamente utilizada por múltiplos agentes APT, incluindo o prolífico grupo chinês APT10;
- Execução de ferramentas utilitárias de rede integradas no Windows;
- Acesso aos ficheiros da vítima, especialmente os que encontram no ambiente de trabalho
Alvos: Afeganistão, Quirguizistão e Uzbequistão
Para além do governo afegão, as variantes focam-se em entidades políticas de dois países da Ásia Central em particular: o Quirguizistão e o Uzbequistão. No seu relatório, a CPR fornece indicadores específicos sobre as potenciais vítimas.
 |
| Fig. 3 Região visada |
"A deteção de espionagem cibernética continua a ser para nós uma prioridade máxima. Desta vez, detetámos uma campanha phishing em curso dirigida ao governo afegão. Temos razões para crer que o Uzbequistão e o Quirguizistão também foram vítimas e atribuímos a responsabilidade a um agente malicioso de língua chinesa.” afirma Lotem Finkelsteen, Head of Threat Intelligence da Check Point Software. “O que é notável aqui é como os cibercriminosos utilizaram uma tática ministério-a-ministério para enganar. É maliciosa e eficaz para fazer com que qualquer pessoa faça alguma coisa por si; e neste caso, a atividade maliciosa foi detetada entre os mais altos níveis de soberania. Além disso, é digno de nota como os atores da ameaça utilizam o Dropbox para se mascarar da deteção, uma técnica que creio que todos deveríamos conhecer, para que possamos redobrar a atenção. É possível que outros países também tenham sido visados por este grupo, embora não saibamos quantos ou que países. Assim, estamos a partilhar uma lista de outros possíveis domínios utilizados no ataque neste momento, na esperança de que os seus nomes possam ser aproveitados por outros investigadores cibernéticos para contribuir para mais descobertas".
Post A Comment:
0 comments: