Conflito Rússia-Ucrânia é o tema de eleição para disseminar esquemas de ciberespionagem

Instituições públicas, bancos e empresas do setor energético entre os principais alvos

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alerta para grupos de cibercrime de todo o mundo que estão a utilizar documentos sobre o conflito Rússia/Ucrânia para distribuir malware e incitar as vítimas a cair em esquemas de ciberespionagem. Os ficheiros partilhados variam dependendo da região e setor visados, indo desde documentos que parecem provir de fontes oficiais a artigos noticiosos e ofertas de trabalho. A CPR acredita que a principal motivação dos ataques seja o roubo de informação sensível de instituições governamentais, bancos e empresas do setor energético.

No relatório mais recente, a CPR perfila três grupos APT, El Machete, Lyceum e Sidewinder, apanhados recentemente a disseminar campanhas direcionadas de phishing para vítimas de 5 países. A tabela abaixo sumariza cada um dos grupos APT quanto à sua origem, setores a que se dirigem e países-alvo.

Nome do grupo	Origem	Setor a que se dirigem os ataques	Países-alvo
El Machete	País de lingua espanhola	Financeiro, governamental	Nicaragua, Venezuela
Lyceum	República Islamica do Irão	Energia	Israel, Arábia Saudita
SideWinder	Índia, possivelmente	Desconhecido	Paquistão

Capacidades do malware

A CPR analisou o malware associado a cada um dos três grupos APT, especialmente para estas atividades de ciberespionagem. As capacidades do malware incluem:

• Keylogging: aceder a tudo o que é digitado no teclado
• Roubo de credenciais: obter as credenciais armazenadas nos browsers do Chrome e Firefox
• Recolha de ficheiros: recolher informação sobre os ficheiros em cada disco, acedendo a nomes e tamanhos de ficheiros, permitindo o roubo de ficheiros específicos
• Capturas de ecrã
• Recolher dados da área de transferência
• Executar comandos

Metodologia dos ataques

El Machete

1. Lança campanhas de phishing direcionadas com um texto sobre a Ucrânia
2. Em anexo, um documento Word com um artigo sobre a Ucrânia
3. O documento inclui um macro malicioso que descarrega uma sequência de ficheiros
4. O malware é descarregado no PC

Lyceum

1. E-mail com conteúdo sobre os crimes de guerra na Ucrânia e um link para um documento malicioso hospedado num website
2. O documento executa um macro código quando é fechado
3. Ficheiro exe guardado no computador
4. Na próxima vez que o computador for reiniciado, o malware será executado

SideWinder

1. Documento malicioso é aberto pela vítima.
2. Assim que aberto, o documento recupera um template remoto a partir de um servidor controlado por um agente malicioso
3. O template externo que é descarregado é um ficheiro RTF que explora a vulnerabilidade CVE-2017-11882
4. O malware chega ao PC da vítima

Documentos relacionados com a guerra Rússia-Ucrânia são o isco de eleição

A CPR observou que o grupo El Manchete enviava e-mails de phishing direcionados a organizações financeiras na Nicarágua, com um ficheiro Word anexado cujo título era “Planos obscuros do regime neonazi na Ucrânia”. O documento continha um artigo escrito e publicado por Alexander Khokholikov, o embaixador russo em Nicarágua que discutiu o conflito russo-ucraniano a partir da perspetiva do Kremlin.

Fig. 1 Documento utilizado pelo grupo APT El Machete para atrair as instituições financeiras nicaraguenses

Em meados de março, uma empresa israelita do setor energético recebeu um e-mail do endereço inews-reporter@protonmail(.)com com o assunto “Crimes de guerra russos na Ucrânia”. O e-mail continha algumas fotografias tiradas de meios de comunicação e um link para um artigo hospedado no domínio news-spot[.]live. O link levava o utilizador para um documento com o artigo do The Guardian intitulado “Investigadores reúnem evidências de possíveis crimes de guerra russos na Ucrânia”. O mesmo domínio servia de endereço para alguns outros documentos maliciosos relacionados com a Rússia e com a guerra Rússia-Ucrânia, como uma cópia de um artigo de 2020 do The Atlantic Council sobre armas nucleares, e uma oferta de trabalho para um agente de segurança privada na Ucrânia.

Fig. 2 E-mail enviado pelo grupo Lyceum para atrair vítimas através do conflito Rússia-Ucrânia

Fig. 4 Documentos relacionados com o conflito Rússia-Ucrânia utilizados pelo grupo APT Lyceum

O documento malicioso do SideWinder, que tirava partido também da guerra Rússia-Ucrânia, foi carregado em meados de março no VirusTotal (VT), um serviço online gratuito que analisa o potencial malicioso dos ficheiros. Considerando o seu conteúdo, os alvos pretendidos eram entidades paquistanesas. O documento usado como isco parecia provir do Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e apresentava como título "O impacto do conflito russo-ucraniano no Paquistão". Este documento malicioso utilizava uma injeção de template remota. Quando aberto, o documento recupera um template remoto a partir de um servidor controlado por agente malicioso.

Fig. 4 Documento utilizado pelo grupo APT Sidewinder para ludibriar as vítimas com o conflito Rússia-Ucrânia

“Neste momento, estamos a ver uma variedade de campanhas APT que aproveitam a guerra para distribuir malware. As campanhas são altamente direcionadas e sofisticadas, focando-se em vítimas de instituições governamentais, entidades financeiras e setores energéticos. No nosso relatório mais recente, perfilamos e trazemos exemplos de três grupos APT diferentes, oriundos de várias partes do mundo, que apanhámos a orquestrar campanhas de phishing direcionado,” começa por dizer Sergey Shykevich, Threat Intelligence Group Manager da Check Point Software. “Analisámos de perto o malware envolvido, e entre as capacidades encontramos desde o keylogging à captura de ecrã, e muito mais. Acredito vivamente que estas campanhas têm como motivação principal a ciber espionagem. As nossas descobertas revelam uma tendência clara em que o conflito Rússia-Ucrânia se tornou o tema de eleição dos grupos de cibercrime para ludibriar as vítimas. A minha recomendação para os governos, bancos e empresas energéticas é que reiterem com as suas equipas a importância da cibersegurança, e implementem soluções de cibersegurança que protejam as redes a todos os níveis.”

Ciberataques no mundo em torno da guerra

A Check Point Research (CPR) partilhou recentemente uma atualização das tendências de cibercrime a que se tem assistido enquanto decorre a guerra Rússia-Ucrânia. Um mês depois do início da guerra, a 24 de fevereiro de 2022, tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17% respetivamente. A CPR constatou ainda que, a nível global, registou-se um aumento de 16% do número de ciberataques. A CPR tem monitorizado de perto o fluxo de ciberataques por região e, especificamento, nos países da NATO, nos quais se inclui Portugal.