Check Point descobre cibercriminosos chineses que passaram 5 anos espionando governos de países da Ásia-Pacífico
7 de maio de 2020O grupo, conhecido como Naikon, infiltrava-se em organismos governamentais com o objetivo de utilizar os seus contatos e documentações para lançar ataques contra outras entidades e infectar com o malware “Aria-body”, aponta Check Point
A Check Point® Software Technologies Ltd. descobriu um grupo chinês APT, o Naikon, que exerce há cinco anos atividades maliciosas ao realizar operações de ciberespionagem contra vários governos da região Ásia-Pacífico.
O grupo Naikon reconheceu em 2015 a autoria de vários ataques contra organismos governamentais e outras organizações de países situados na região do Mar da China, visando acessar informação política confidencial. No entanto, este grupo parecia ter encerrado sua atividade ainda naquele ano, mas foi somente por aparência.
Os pesquisadores da Check Point descobriram que o grupo não só se manteve ativo durante os últimos cinco anos, como também aumentou o número de ações de ciberespionagem durante todo o ano de 2019 e neste primeiro semestre de 2020.
Este grupo de cibercriminosos chineses direciona os seus ataques a entidades governamentais como ministérios de relações exteriores ou ciência e tecnologia dos países da região Ásia-Pacífico, de onde se destacam a Austrália, Indonésia, Filipinas, Vietnã, Tailândia, Mianmar e Brunei. O seu principal objetivo é reunir uma grande quantidade de informação confidencial com fins geopolíticos.
Como o grupo Naikon desenvolve os seus ataques?
O modus operandi deste grupo consistia em infiltrar-se num organismo governamental a fim de utilizar os seus contatos e documentos para lançar ataques contra outras entidades, aproveitando-se da confiança e das relações diplomáticas para aumentar a porcentagem de sucesso dos seus ataques.
Os especialistas da Check Point começaram a sua investigação ao analisar um e-mail enviado ao governo australiano que incluía um documento anexado infectado. Este arquivo continha um exploit que, ao ser aberto, se infiltrava no computador do usuário e tentava descarregar um novo e sofisticado malware de backdoor chamado “Aria-body”, a partir de servidores web externos utilizados pelo grupo Naikon.
Desta forma, este grupo de cibercriminosos obtinha acesso remoto ao equipamento ou à rede infectada sem que nenhuma ferramenta de segurança o detectasse.
A cadeia de infecção passava por três etapas:
1. Roubar a identidade de um organismo governamental para enganar a vítima: Naikon começa o seu ataque a partir de um e-mail com um documento que contém informação de interesse para os seus alvos. Estes dados podem ser obtidos de fontes públicas e abertas, porém o grupo procura utilizar informação de outros sistemas.
2. Infectar os documentos com malware para infiltrar-se nos sistemas de destino: o grupo de cibercriminosos infecta os documentos com “Aria-body”, um malware de tipo backdoor que lhes oferece acesso às redes dos seus alvos.
3. Usar os próprios servidores dos governos para continuar e controlar os ataques: o grupo Naikon aproveita-se das infraestruturas e dos servidores das suas vítimas para lançar novos ataques, o que contribui para evitar a sua detecção. Os especialistas da Check Point descobriram, em um dos casos que analisaram, que o servidor que havia sido utilizado para o ataque pertencia ao departamento de ciência e tecnologia do governo das Filipinas.
“O Naikon tentou atacar um dos nossos clientes fazendo-se passar por um governo estrangeiro e foi nesse momento que o grupo voltou ao nosso radar depois de cinco anos de ausência, e decidimos investigar mais a fundo. Descobrimos que se trata de um grupo chinês APT que utiliza ferramentas muito sofisticadas.”
“Seu objetivo é reunir informação confidencial e espiar os países, e para tal passaram os últimos anos desenvolvendo na obscuridade ciberameaças como o “Aria-body”, um novo malware de tipo backdoor”, explica Lotem Finkelsteen, diretor de Threat Intelligence da Check Point.
“Para evitar serem detectados, utilizavam exploradores atribuídos a outros grupos APT e se aproveitavam dos servidores das suas vítimas como centros de Comando e Controle. A Check Point torna pública esta investigação para alertar a todas as entidades governamentais sobre a necessidade de ressaltar as suas medidas de segurança face a este ou qualquer outro grupo de cibercriminosos”, reforça Finklesteen.
Os especialistas da Check Point recomendam que se deve adotar as melhores ferramentas de segurança para fazer frente a estas novas gerações de ciberameaças que estão cada vez mais sofisticadas. A empresa conta com o SandBlast Agent, que oferece uma prevenção completa de ameaças nos endpoints contra os ataques de dia zero, com um índice de bloqueio de 100%, incluindo para ameaças desconhecidas com zero falsos positivos.
O Check Point SandBlast Agent recebeu a classificação de segurança “AA” no teste Advanced Endpoint Protection (AEP) do NSS Labs 2020, tendo detectado 100% das ameaças de HTTP e e-mail, 100% de malware usando técnicas sofisticadas de evasão e 100% de resistência à evasão.
19 milhões de dólares já foram perdidos em golpes e ameaças relacionados a pandemia do Coronavírus
Ransomware evoluído de dupla extorsão chega aos hospitais aproveitando-se da COVID-19
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques. A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos.
A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
Março teve uma média de 600 novas campanhas de phishing por dia no mundo