A Cylance divulgou a primeira de uma série de relatórios de pesquisa que exploram a identificação e o rastreamento de um novo – e provavelmente patrocinado por algum país – agente de ameaças cujo perfil não corresponde a qualquer um dos grupos de ameaça persistente avançada (APT) estabelecidos.
As descobertas preliminares detalham uma das recentes campanhas do grupo, um esforço de um ano de espionagem dirigido à Força Aérea do Paquistão. A empresa batizou a campanha de Operação Shaheen e a organização de White Company – em reconhecimento às muitas e elaboradas medidas que a organização toma para encobrir (whitewash) todos os sinais de sua atividade e evitar a incriminação.
A Força Aérea do Paquistão não é apenas uma parte integrante do sistema de segurança nacional do país – incluindo seu programa de armas nucleares –, mas também é a sede recém-anunciada do Centro Nacional de Segurança Cibernética do país. Uma operação de espionagem bem-sucedida contra tal alvo poderia produzir uma visão tática e estratégica significativa para uma série de potências estrangeiras.
Pesquisadores da companhia descobriram evidências indicando que a White Company possui recursos consideráveis, o que corrobora a probabilidade de que a organização faça parte de um grupo patrocinado por uma nação:
-Acesso a desenvolvedores de exploits de dia zero e (potencialmente) exploits de dia zero;
-Um sistema de construção de exploits complexo e automatizado;
-A capacidade de modificar, refinar e desenvolver exploits para atender às necessidades específicas da missão;
-A capacidade de reconhecimento avançado de alvos.
A equipe de inteligência de ameaças da Cylance analisou uma grande parte do pacote de exploits da White Company, que nesse caso envolveu um minucioso exame das instruções em linguagem de máquina incorporadas em uma amostra de aproximadamente 30 exploits. A marcação genética e o mapeamento de 42 recursos exclusivos permitiram que os pesquisadores acompanhassem o desenvolvimento, a modificação e a evolução do kit de exploração ao longo do tempo, permitindo que a Cylance vinculasse a White Company a outras campanhas anteriormente não identificadas ou atribuídas incorretamente.
A White Company é o primeiro agente de ameaças que a Cylance encontrou que atinge e efetivamente evita vários antivírus – incluindo Sophos, ESET, Kaspersky, BitDefender, Avira, Avast e Quick Heal – antes de colocá-los contra seus proprietários, deliberadamente entregando-se a eles em datas específicas para distrair, atrasar e desviar recursos.
A evasão dos antivírus é apenas uma das várias medidas empregadas pela White Company para escapar da atribuição. Outros métodos incluem:
• Dentro do exploit: quatro maneiras diferentes de verificar se o malware estava no sistema de um analista ou investigador; a capacidade de limpar o Word e lançar um documento falso para reduzir as suspeitas, e a capacidade de excluir-se inteiramente do sistema de destino.
• Dentro do malware: cinco técnicas de empacotamento diferentes que abrigavam o payload final em uma série de camadas de “bonecas matrioska”; formas adicionais de verificar se o malware estava no sistema de um analista ou investigador; payload de códigos abertos e técnicas de ofuscação; o uso de infraestrutura de rede comprometida para comando e controle.
Os relatórios futuros da série aprofundarão o malware e a infraestrutura associados a essas e outras campanhas da White Company, ao mesmo tempo que compartilharão uma análise sofisticada dos dados técnicos estruturais.
