Últimas notícias

Fique informado

Série de estudos detalha ataques recentes da ciberespionagem Chinesa – Por Carlos Cabral

11 de agosto de 2021

Spotlight

Philip R. Zimmermann apresenta o 3º episódio AET Security Topics: Quantum Key Distribution

Philip R. Zimmermann, um dos maiores criptógrafos, apresenta uma nova webserie. Não perca o 1º episódio! Com legenda em português!

15 de setembro de 2021

NSA publica atualização sobre criptografia resistente a quantum

A NSA publicou o FAQ “Quantum Computing and Post-Quantum Cryptography. Confira nesse artigo!

3 de setembro de 2021

A condição paradoxal do hacktivismo

O início dos anos 2000 foi marcado pela formação do movimento Anonymous e por ataques relevantes, classificados como hacktivistas.

1 de setembro de 2021

CertForum 2021: Fórum Mundial de Assinatura Digital

Como parte integrante do CertForum, será realizado o Fórum Mundial de Assinatura Digital, com o objetivo de ampliar o debate do uso da assinatura digital.

1 de setembro de 2021

CertForum 21: evento on-line para quem quer saber tudo sobre identificação digital e documentos eletrônicos

O CertForum é realizado pelo Instituto Nacional de Tecnologia da Informação (ITI) e organizado pela Associação Brasileira das Empresas de Tecnologia em Identificação Digital (ABRID).

31 de agosto de 2021

Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança

A lista conta com jornalistas, ativistas, chefes de Estado, diplomatas, políticos e líderes religiosos, dentre outros.

28 de julho de 2021

Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

Todos os sites dos operadores do ransomware REvil saíram do ar na terça-feira passada

21 de julho de 2021

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

O incidente na Kaseya resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

14 de julho de 2021

O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest

Criminosos permaneceram por quatro anos na rede dos hotéis do Marriott e 500 milhões de pessoas foram afetadas

20 de dezembro de 2018

Análises de pesquisadores de diversos países sobre campanhas conduzidas pela China demonstram tipos distintos de ataques e oferecem sinais sobre o comportamento do país no tabuleiro da geopolítica atual

Carlos Cabral

Ao explicar as diferenças na forma de se fazer política internacional entre nós, ocidentais e os chineses, o diplomata Henry Kissinger usa como metáfora os principais jogos de tabuleiro presentes nessas duas culturas, o xadrez e o wei qi, conhecido no Ocidente como “go”,  uma variante do seu nome em japonês.

O xadrez é um jogo de atrito e de vitória total, pois você precisa derrubar as peças adversário e aniquilar sua capacidade de reação para vencer. Já o wei qi é um jogo de cerco e de acumulação de vantagem relativa, em que você desabilita as forças do adversário por meio de vias indiretas e pela paciente ocupação de espaços.  

Essa diferença de comportamento é notável quando analisamos os movimentos dessas civilizações na atual ordem mundial, e claro, também é evidente no uso do hacking para obter vantagem política.

Resultado de uma partida de wei qi entre dois mestres do jogo. As pretas venceram por ligeira margem. Fonte: Henry Kissinger.

Semana passada, foram publicados três estudos relevantes que jogam luz sobre os recentes movimentos da ciberespionagem chinesa nesse tabuleiro. 

Três Clusters

O primeiro deles foi produzido por especialistas da Cybereason e trata de uma grande campanha contra empresas de telecomunicações de cinco países do sudeste asiático, cujos nomes não foram divulgados.

Foram identificados três “clusters” de atividade maliciosa controlados por grupos distintos, todos eles, porém operando de acordo com os interesses da China.

O primeiro é operado por um grupo catalogado como GALLIUM (também chamado de Soft Cell) que está ativo desde 2012, entretanto foi documentado originalmente em 2019 em ataques contra empresas de telecom em vários países.

O grupo adota uma metodologia que consiste em agir devagar e com baixo nível de ruído, obtendo acesso às redes das vítimas preferencialmente por meio da exploração de falhas no Microsoft Exchange, incluindo os quatro recentes zero-days que fizeram parte de uma onda de ataques em março. Muitos destes incidentes foram atribuídos formalmente à China pelo governo dos EUA.

O segundo núcleo é supostamente operado pelo Naikon APT, um grupo de espionagem cibernética bastante ativo, com sua operação registrada pelo menos desde 2010, em ataques com foco em países da ASEAN, Associação de Nações do Sudeste Asiático.

As atividades deste grupo já foram anteriormente atribuídas ao Segundo Bureau de Reconhecimento Técnico da Região Militar Chengdu, também chamado de unidade 78020 do Exército de Libertação do Povo Chinês. 

Segundo os pesquisadores, a principal arma do Naikon APT nessa campanha seria o Nebulae backdoor, documentado originalmente pela BitDefender em abril deste ano, além de um keylogger até então desconhecido e que foi apelidado como EnrollLoger.

Já o terceiro cluster, considerado como um “mini-cluster” pelos pesquisadores, consiste em uma versão do OWA (Microsoft Outlook Web Access) “backdorada”, a qual tem sido instalada nos servidores Exchange e IIS das vítimas.

A análise do backdoor mostra semelhanças significativas de código com outra ameaça, observada em uma campanha catalogada pela Trend Micro em 2015 como Operation Iron Tiger, a qual foi atribuída a um threat actor chinês bastante conhecido no setor de Threat Intelligence, rastreado como Emissary Panda ou APT27.

A pesquisa da Cybereason também documenta o reaproveitamento de código e o compartilhamento de ferramentas entre os três clusters, o que pode ser uma evidência de uma ação coordenada sob o mesmo núcleo estratégico.

No entanto, os especialistas não descartam a possibilidade de que dois ou mais threat actors chineses, com diferentes motivações, poderiam estar disputando os mesmos alvos e roubando as ferramentas uns dos outros no processo. Pois usar as ferramentas alheias pode ser uma tática de dissimulação.

APT31

O segundo relatório da semana passada envolvendo a China foi publicado por pesquisadores da Positive Technologies que identificaram uma nova campanha conduzida pelo threat actor chinês APT31, também chamado de Zirconium ou Judgment Panda.

Os ataques foram observados entre janeiro e julho deste ano e afetaram entidades financeiras, do setor aeroespacial e de defesa baseadas na Mongólia, Canadá, Belarus, Estados Unidos e na Rússia. 

Tecnicamente, o que o estudo tem de novo é a descrição de um dropper – mecanismo cuja função é a de instalar outros artefatos de malware no alvo. No entanto, uma novidade que não passou batido aos olhos mais atentos é a menção da Rússia entre a lista de alvos, algo cuja documentação nessa condição não é muito frequente. 

Dig Deeper

Mas quem cavou fundo nos dados de ataques recentes da inteligência chinesa contra a Rússia foram os pesquisadores Anastasia Tikhonova e Dmitry Kupin da Group-IB. Eles produziram um relatório detalhado sobre ataques que fazem referência a dois outros threat actors: o TA428, documentado originalmente em 2010 e com histórico de ataques contra alvos na Ásia como Taiwan e Hong Kong, e o TaskMasters, também chamado de BlueTraveller, cuja identidade se mistura com o nome de sua principal ameaça, o malware Albaniiutas

A análise foi baseada em ataques contra autoridades do país em 2020.

Os estudos podem ser usados para mapear a recente movimentação da China no tabuleiro de wei qi (e não de xadrez) da política global. 

É possível notar um espalhamento das peças nos mais variados setores do tabuleiro: com adensamento em zonas tradicionais de influência, como os países da ASEAN, mas também em pontos pouco documentados, como a Rússia, mas que fazem sentido em um jogo de cerco, paciência e vitória relativa.

Últimas Palavras: Enquanto fechava esta coluna, vi que a FireEye publicou um estudo sobre outra campanha de ataque com origem na China, mas focada em alvos em Israel.  

Carlos Cabral

Carlos Cabral@kbralx

Pesquisador de Segurança na Tempest.

Escreve sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da cibersegurança. É um dos organizadores do livro “Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados” e autor de diversos artigos e palestras sobre o tema.

Acumula mais de quinze anos de experiência na área de segurança da informação, atuando em empresas de serviços, telecomunicações, consultorias e no mercado financeiro. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia e Política pela Fundação Escola de Sociologia e Política de São Paulo.

É responsável pelo roteiro e apresentação do programa 0 News no canal Mente Binária no YouTube.

Acompanhe a Coluna de Carlos Cabral aqui no Crypto ID!

BlackMatter: nova gangue surge em meio a especulações sobre retorno do REvil e do Darkside

Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança

Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

Siga o Crypto ID por todos os lugares!