Check Point Software atribui ataque ao grupo APT SideWinder, conhecido por utilizar um malware de extorsão de informação e almejar entidades paquistanesas e chinesas
As evidências sugerem que o grupo acedeu a vários documentos confidenciais
A Check Point Research (CPR), área de Threat Intelligence da Check Point Software Technologies, tem evidências que sugerem que a sede da Força Aérea paquistanesa foi vítima de um ataque bem-sucedido perpetrado pelo SideWinder, um grupo APT que se suspeita estar sediado na Índia.
SideWinder: Grupo APT indiano suspeito
O SideWinder é um grupo APT que concentra os seus alvos nas organizações públicas do Paquistão e China. No final de março deste ano, a CPR publicou uma análise de um documento malicioso disseminado pelo grupo que se aproveitava do conflito Rússia-Ucrânia. Os alvos pretendidos do ataque eram entidades paquistanesas, com o documento-isco a fazer-se passar pelo Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e com o seguinte título: "Impacto do conflito russo na Ucrânia sobre o Paquistão".
 |
| Documento falsificado relacionado com a guerra na Ucrânia utilizado em ataques anteriores pelo grupo APT Sidewinder |
Os ficheiros suspeitos
Agora, a CPR tem evidências que levam a crer que o grupo atacou a Força aérea paquistanesa. As conclusões resultam da análise de ficheiros submetidos na plataforma VirusTotal, um serviço gratuito que permite identificar conteúdo malicioso e vários ficheiros e URLs. A CPR encontrou evidências que associavam os ficheiros ao grupo APT SideWinder, conhecido por almejar entidades paquistanesas e supeito de ter sede na Índia.
Um dos ficheiros desencriptados pela CPR foi produzido por um malware infostealer utilizado exclusivamente por este grupo, e continha uma lista de todos os ficheiros relevantes extraídos do computador infetado. A maioria dos ficheiros estava relacionado com a indústria militar, instalações nucleares, ensino superior, história da guerra, entre outros. Alguns dos ficheiros apontavam ainda para documentos do “Chairman Joint Chiefs of Staff Committee”, alegadamente o cargo mais elevado das forças armadas paquistanesas.
A CPR suspeita que o grupo tenha acedido a um dispositivo infetado, a partir do qual chegou à drive da organização, utilizada amplamente pelas pessoas que a constituem.
As vítimas
A partir dos nomes dos ficheiros e diretórios, foi possível à CPR conhecer os nomes de utilizador que pertencem à vítima, incluindo AHQ-STRC3. Isto, para além de outros elementos nos nomes dos ficheiros, parece sugerir que AHQ significa Sede Aérea do Paquistão, que é a sede da Força Aérea do Paquistão. Existem também documentos que mencionam explicitamente o Quartel-General Aéreo nos seus nomes de ficheiro, reforçando a ligação entre o "AHQ" no nome de utilizador à Força Aérea Paquistanesa. As investigações encontraram um nome de utilizador adicional chamado "gnss" que infelizmente não produziu nenhuma pista útil, embora outro palpite possa ser que isto se refere ao "sistema global de navegação por satélite". Os ficheiros vistos também tinham nomes relacionados com comunicações via satélite, implicando dados em torno disto.
Embora a análise dos ficheiros de malware carregados no Virus Total revele frequentemente a identidade dos alvos da campanha de ataque, é pouco comum expor também provas de que o ataque foi realmente bem-sucedido. Neste caso, a CPR viu que um um ficheiro log, produzido pelo malware, expôs a identidade das vítimas, incluindo nomes de documentos e sistemas sensíveis.
Isto leva a CPR a assumir que a intrusão foi eventualmente detetada e analisada pela vítima ou por analistas de segurança que operam em seu nome.
Dicas de ouro para a proteção contra ataques de phishing
Ainda que não se saiba ao certo a forma de penetração utilizada inicialmente pelos atacantes, a Check Point Software relembra 3 dicas de ouro aplicáveis sempre que se está perante uma suspeita de phishing.
- Não responda, clique em links ou abra anexos.
- Comunicar o e-mail à equipa de TI ou de segurança
- Depois de o relatar, eliminar o e-mail suspeito
Post A Comment:
0 comments: