Pesquisadores de segurança identificaram uma série de atividades do grupo de ciberespionagem TEMP.Periscope, as quais revelam o interesse na política do Camboja. A campanha cibercriminosa visa entidades cambojanas ligadas ao sistema eleitoral do país, como as encarregadas de supervisionar as eleições, bem como o direcionamento de figuras da oposição. Esta descoberta se dá no período que antecede as eleições gerais do país, marcadas para 29 de julho.
O TEMP.Periscope – ativo desde 2013 e com alvo principalmente em companhias marítimas de várias verticais, incluindo empresas de engenharia, transporte, manufatura, defesa, escritórios governamentais e universidades de pesquisa –, utilizou-se da mesma infraestrutura apresentada em atividades anteriores, incluindo a base industrial de defesa nos Estados Unidos e uma empresa química sediada na Europa.
Isto indica que o grupo mantém uma extensa arquitetura de intrusões, com variedade de ferramentas maliciosas para segmentar um extenso número de vítimas, o que está de acordo com os esforços típicos de persistência avançada (APT, sigla em inglês) baseados na China.
A análise da FireEye compreendeu três servidores, os quais acreditam serem controlados pelo TEMP.Periscope, que resultou em insights sobre os objetivos do grupo, com táticas operacionais, atribuição e validação técnica. Revelou ainda um potencial endereço IP de um ator localizado em Hainan, na China. Bem como dados de vítimas que incluíam potenciais comprometimentos de indústrias adicionais nos setores de educação, aviação, química, defesa, governo, marítimo e tecnologia em várias regiões.
Organizações eleitorais do Camboja – Os registros de vítimas associados aos servidores identificados pelos pesquisadores, revelam o comprometimento de várias entidades cambojanas, principalmente aquelas relacionadas às eleições de julho de 2018. Além disso, um e-mail contendo spear phishing indica a segmentação simultânea de figuras da oposição no Camboja.
Dentre as organizações governamentais e indivíduos cambojanos comprometidos estão:
– Comissão Nacional de Eleições, Ministério do Interior, Ministério dos Negócios Estrangeiros e Cooperação Internacional, Senado do Camboja, Ministério da Economia e Finanças;
– Membro do Parlamento representando o Partido de Resgate Nacional do Camboja;
– Vários cambojanos que defendem os direitos humanos e a democracia que escreveram criticamente sobre o atual partido no poder;
– Dois diplomatas cambojanos servindo no exterior;
– Organizações de mídia do Camboja.
Conclusão
A atividade descoberta fornece novas informações sobre a ação do TEMP.Periscope. Anteriormente, destacava-se o interesse desse ator em assuntos marítimos. Entretanto, o ataque às organizações políticas do Camboja, indicam que ele também tem como alvo o sistema político de países estrategicamente importantes. O Camboja, por sua vez, tem atuado como um defensor confiável da posição do Mar do Sul da China em fóruns internacionais como a ASEAN, e é um parceiro importante.
Embora o Camboja seja classificado como Autoritário pelo Índice de Democracia do Economista, a recente surpresa do partido no poder na Malásia pode motivar a China a acompanhar de perto as eleições de 29 de julho. O direcionamento da comissão eleitoral é particularmente significativo, dado o papel crítico que desempenha na mediação da votação. Ainda não há informações suficientes para determinar por que a organização foi comprometida – simplesmente reunindo informações de inteligência ou como parte de uma operação mais complexa. Independentemente disso, esse incidente é o exemplo mais recente de coleta agressiva de Estados-Nação em processos eleitorais em todo o mundo. Embora a atividade relacionada à eleição tenha sido descoberta apenas no sudeste da Ásia, seria um erro assumir que essas ameaças não são relevantes em outros lugares.
