Série de estudos detalha ataques recentes da ciberespionagem Chinesa – Por Carlos Cabral
11 de agosto de 2021Análises de pesquisadores de diversos países sobre campanhas conduzidas pela China demonstram tipos distintos de ataques e oferecem sinais sobre o comportamento do país no tabuleiro da geopolítica atual
Carlos Cabral
Ao explicar as diferenças na forma de se fazer política internacional entre nós, ocidentais e os chineses, o diplomata Henry Kissinger usa como metáfora os principais jogos de tabuleiro presentes nessas duas culturas, o xadrez e o wei qi, conhecido no Ocidente como “go”, uma variante do seu nome em japonês.
O xadrez é um jogo de atrito e de vitória total, pois você precisa derrubar as peças adversário e aniquilar sua capacidade de reação para vencer. Já o wei qi é um jogo de cerco e de acumulação de vantagem relativa, em que você desabilita as forças do adversário por meio de vias indiretas e pela paciente ocupação de espaços.
Essa diferença de comportamento é notável quando analisamos os movimentos dessas civilizações na atual ordem mundial, e claro, também é evidente no uso do hacking para obter vantagem política.
Semana passada, foram publicados três estudos relevantes que jogam luz sobre os recentes movimentos da ciberespionagem chinesa nesse tabuleiro.
Três Clusters
O primeiro deles foi produzido por especialistas da Cybereason e trata de uma grande campanha contra empresas de telecomunicações de cinco países do sudeste asiático, cujos nomes não foram divulgados.
Foram identificados três “clusters” de atividade maliciosa controlados por grupos distintos, todos eles, porém operando de acordo com os interesses da China.
O primeiro é operado por um grupo catalogado como GALLIUM (também chamado de Soft Cell) que está ativo desde 2012, entretanto foi documentado originalmente em 2019 em ataques contra empresas de telecom em vários países.
O grupo adota uma metodologia que consiste em agir devagar e com baixo nível de ruído, obtendo acesso às redes das vítimas preferencialmente por meio da exploração de falhas no Microsoft Exchange, incluindo os quatro recentes zero-days que fizeram parte de uma onda de ataques em março. Muitos destes incidentes foram atribuídos formalmente à China pelo governo dos EUA.
O segundo núcleo é supostamente operado pelo Naikon APT, um grupo de espionagem cibernética bastante ativo, com sua operação registrada pelo menos desde 2010, em ataques com foco em países da ASEAN, Associação de Nações do Sudeste Asiático.
As atividades deste grupo já foram anteriormente atribuídas ao Segundo Bureau de Reconhecimento Técnico da Região Militar Chengdu, também chamado de unidade 78020 do Exército de Libertação do Povo Chinês.
Segundo os pesquisadores, a principal arma do Naikon APT nessa campanha seria o Nebulae backdoor, documentado originalmente pela BitDefender em abril deste ano, além de um keylogger até então desconhecido e que foi apelidado como EnrollLoger.
Já o terceiro cluster, considerado como um “mini-cluster” pelos pesquisadores, consiste em uma versão do OWA (Microsoft Outlook Web Access) “backdorada”, a qual tem sido instalada nos servidores Exchange e IIS das vítimas.
A análise do backdoor mostra semelhanças significativas de código com outra ameaça, observada em uma campanha catalogada pela Trend Micro em 2015 como Operation Iron Tiger, a qual foi atribuída a um threat actor chinês bastante conhecido no setor de Threat Intelligence, rastreado como Emissary Panda ou APT27.
A pesquisa da Cybereason também documenta o reaproveitamento de código e o compartilhamento de ferramentas entre os três clusters, o que pode ser uma evidência de uma ação coordenada sob o mesmo núcleo estratégico.
No entanto, os especialistas não descartam a possibilidade de que dois ou mais threat actors chineses, com diferentes motivações, poderiam estar disputando os mesmos alvos e roubando as ferramentas uns dos outros no processo. Pois usar as ferramentas alheias pode ser uma tática de dissimulação.
APT31
O segundo relatório da semana passada envolvendo a China foi publicado por pesquisadores da Positive Technologies que identificaram uma nova campanha conduzida pelo threat actor chinês APT31, também chamado de Zirconium ou Judgment Panda.
Os ataques foram observados entre janeiro e julho deste ano e afetaram entidades financeiras, do setor aeroespacial e de defesa baseadas na Mongólia, Canadá, Belarus, Estados Unidos e na Rússia.
Tecnicamente, o que o estudo tem de novo é a descrição de um dropper – mecanismo cuja função é a de instalar outros artefatos de malware no alvo. No entanto, uma novidade que não passou batido aos olhos mais atentos é a menção da Rússia entre a lista de alvos, algo cuja documentação nessa condição não é muito frequente.
Dig Deeper
Mas quem cavou fundo nos dados de ataques recentes da inteligência chinesa contra a Rússia foram os pesquisadores Anastasia Tikhonova e Dmitry Kupin da Group-IB. Eles produziram um relatório detalhado sobre ataques que fazem referência a dois outros threat actors: o TA428, documentado originalmente em 2010 e com histórico de ataques contra alvos na Ásia como Taiwan e Hong Kong, e o TaskMasters, também chamado de BlueTraveller, cuja identidade se mistura com o nome de sua principal ameaça, o malware Albaniiutas.
A análise foi baseada em ataques contra autoridades do país em 2020.
Os estudos podem ser usados para mapear a recente movimentação da China no tabuleiro de wei qi (e não de xadrez) da política global.
É possível notar um espalhamento das peças nos mais variados setores do tabuleiro: com adensamento em zonas tradicionais de influência, como os países da ASEAN, mas também em pontos pouco documentados, como a Rússia, mas que fazem sentido em um jogo de cerco, paciência e vitória relativa.
Últimas Palavras: Enquanto fechava esta coluna, vi que a FireEye publicou um estudo sobre outra campanha de ataque com origem na China, mas focada em alvos em Israel.
BlackMatter: nova gangue surge em meio a especulações sobre retorno do REvil e do Darkside
Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança
Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia
Acompanhe o Crypto ID nas redes sociais!