Check Point Research identifica nova arma de ciberespionagem utilizada para espiar governos

Operação de cibervigilância utilizava backdoor malicioso para espiar governo do sudeste asiático

Depois de identificar e bloquear uma operação de vigilância visando um governo do sudeste asiático, a Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, identificou, alerta para nova arma de ciberespionagem utilizada por um grupo cibercriminoso chinês. Ao longo de 3 anos, os atacantes desenvolveram um backdoor nunca antes visto para software Windows. Sendo implementado com sucesso nos computadores pessoais das vítimas, o backdoor permite correr ferramentas de espionagem ao vivo, tais como captura de ecrã, edição de ficheiros e execução de comandos.

Cadeia de infeção

Os atacantes enviavam sistematicamente documentos maliciosos que personificavam entidades do governo visado a membros do Ministério dos Negócios Estrangeiros do mesmo governo. A cadeia de infeção pode ser descrita da seguinte forma:

1. Vítima recebe um e-mail com um documento em anexo, enviado alegadamente por algum outro ministério ou comissão do governo
2. Ao abrir o documento, a vítima executa uma cadeia de eventos que eventualmente resultam no download de um backdoor
3. O backdoor recolhe qualquer informação que o atacante pretenda obter, incluindo a listagem de ficheiros e programas ativos no PC, permitindo o seu acesso remoto

Fig. 1 Versão traduzida para inglês dos documentos originalmente utilizados para o ataque

Fig. 2 Diagrama da cadeia de infeção

O backdoor

Ao longo de três anos, os atacantes desenvolveram um novo backdoor, um tipo de malware que nega os procedimentos normais de autenticação para aceder a um sistema. Com o nome interno de "VictoryDll_x86.dll", o backdoor contém um malware personalizado com as seguintes capacidades:

• Apagar/criar/renomear/ler/escrever ficheiros e obter atributos sobre os mesmos
• Obter informação sobre os processos e serviços
• Fazer capturas de ecrã
• Executar comandos através de cmd.exe
• Criar/terminar processos
• Obter tabelas TCP/UDP
• Obter informações sobre chaves de registo
• Obter privilégios de top-level no Windows
• Obter informação pessoal do computador da vítima – nome do computador, nome de utilizador, endereço gateway, dados do adaptador, versão Windows (versão maior/menor e número de fabrico), tipo de utilizador
• Encerrar computador

Atribuição de responsabilidade

A Check Point Research atribui a operação de vigilância, com média a elevada confiança, a um grupo de cibercriminosos chinês, baseando-se nos seguintes indicadores:

• Os servidores command and control (C&C) só foram comunicativos entre a 1:00 e as 8:00 UTC, o horário que se acredita ser de trabalho no país dos atacantes, significando que o alcance das suas possíveis origens é limitado.
• Os servidores C&C não devolveram qualquer payload (mesmo em horas de trabalho), especialmente durante o período entre dias 1 e 5 de maio – feriados do dia de Trabalhador na China.
• Algumas versões de teste do backdoor continham uma verificação de conectividade com um dos sites mais populares na China, o www.baidu.com.
• O kit RoyalRoad RTF, utilizado para transformar os documentos em anexos de ataque, está associado maioritariamente a grupos APT chineses.
• Algumas versões de teste do backdoor datadas de 2018 foram transferidas para o VirusTotal na China.

Evitar deteção

A operação de vigilância alocou esforços significativos para evitar ser detetada.

• O servidor C&C funcionava numa janela diária limitada, concordante com o horário de trabalho na China, e a infraestrutura foi alterada várias vezes ao longo da campanha.
• O malware do backdoor esteve em desenvolvimento desde 2017. Contudo, ao longo dos anos, foi dividido em vários estágios de forma a dificultar a análise e deteção.

“Todas as provas apontam para o facto de estarmos perante uma operação altamente organizada que se esforçou para se manter debaixo do radar. De semana a semana, os atacantes utilizavam e-mails de phishing direcionados, com versões de documentos maliciosos sobre questões governamentais, com o objetivo de obter uma porta de entrada para o Ministério de Negócios Estrangeiros do governo visado,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Em última análise, a nossa investigação conduziu a descoberta de um novo backdoor de Windows ou, noutras palavras, uma nova arma de ciberespionagem, em desenvolvimento desde 2017. O backdoor foi formulado e reformulado uma e outra vez ao longo dos anos, antes de ser utilizado. É muito mais intrusivo e capaz de recolher uma vasta quantidade de dados de um computador infetado. Ficámos a saber que os atacantes não estão apenas interessados em ‘cold data’, mas também no que está a acontecer no computador a qualquer momento. Embora tenhamos conseguido boquear a operação para este governo do sudeste asiático, é muito possível que esta nova arma esteja a ser utilizada para outros alvos espalhados pelo mundo.”