Identificada nova arma de ciberespionagem utilizada para espiar governos

Depois de identificar e bloquear uma operação de vigilância visando um governo do sudeste asiático, a Check Point Research (CPR), área de Threat Intelligence da  Check Point alertou para nova arma de ciberespionagem utilizada por um grupo cibercriminoso chinês.

Ao longo de três anos, os atacantes desenvolveram um backdoor nunca antes visto para software Windows. Sendo implementado com sucesso nos computadores pessoais das vítimas, o backdoor permite correr ferramentas de espionagem ao vivo, tais como captura de ecrã, edição de ficheiros e execução de comandos.

Os atacantes enviavam sistematicamente documentos maliciosos que personificavam entidades do governo visado a membros do Ministério dos Negócios Estrangeiros do mesmo governo. A cadeia de infeção pode ser descrita da seguinte forma:

1. Vítima recebe um e-mail com um documento em anexo, enviado alegadamente por algum outro ministério ou comissão do governo;
2. Ao abrir o documento, a vítima executa uma cadeia de eventos que eventualmente resultam no download de um backdoor;
3. O backdoor recolhe qualquer informação que o atacante pretenda obter, incluindo a listagem de ficheiros e programas ativos no PC, permitindo o seu acesso remoto.

Ao longo de três anos, os atacantes desenvolveram um novo backdoor, um tipo de malware que nega os procedimentos normais de autenticação para aceder a um sistema. Com o nome interno de "VictoryDll_x86.dll", o backdoor contém um malware personalizado com capacidades como, apagar, criar, ler e escrever ficheiros e obter atributos sbre os mesmos, fazer capturas de ecrãs, executar comandos através de cmd.exe e obter privilégios de top-level no Windows, entre outros.

A Check Point Research atribui a operação de vigilância, com média a elevada confiança, a um grupo de cibercriminosos chinês, baseando-se nos seguintes indicadores:

• Os servidores command and control (C&C) só foram comunicativos entre a 1:00 e as 8:00 UTC, o horário que se acredita ser de trabalho no país dos atacantes, significando que o alcance das suas possíveis origens é limitado;
• Os servidores C&C não devolveram qualquer payload (mesmo em horas de trabalho), especialmente durante o período entre dias 1 e 5 de maio – feriados do dia de Trabalhador na China;
• Algumas versões de teste do backdoor continham uma verificação de conectividade com um dos sites mais populares na China, o www.baidu.com;
• O kit RoyalRoad RTF, utilizado para transformar os documentos em anexos de ataque, está associado maioritariamente a grupos APT chineses;
• Algumas versões de teste do backdoor datadas de 2018 foram transferidas para o VirusTotal na China.

“Todas as provas apontam para o facto de estarmos perante uma operação altamente organizada que se esforçou para se manter debaixo do radar. De semana a semana, os atacantes utilizavam e-mails de phishing direcionados, com versões de documentos maliciosos sobre questões governamentais, com o objetivo de obter uma porta de entrada para o Ministério de Negócios Estrangeiros do governo visado”, começa por dizer Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Em última análise, a nossa investigação conduziu a descoberta de um novo backdoor de Windows ou, noutras palavras, uma nova arma de ciberespionagem, em desenvolvimento desde 2017. O backdoor foi formulado e reformulado uma e outra vez ao longo dos anos, antes de ser utilizado. É muito mais intrusivo e capaz de recolher uma vasta quantidade de dados de um computador infetado. Ficámos a saber que os atacantes não estão apenas interessados em ‘cold data’, mas também no que está a acontecer no computador a qualquer momento. Embora tenhamos conseguido boquear a operação para este governo do sudeste asiático, é muito possível que esta nova arma esteja a ser utilizada para outros alvos espalhados pelo mundo”.