A Check Point Research detectou uma operação de espionagem cibernética visando os Institutos de Pesquisa de Defesa da Rússia atualmente ativos. Atribuída a cibercriminosos do Estado-Nação chinês, a operação conta com técnicas de engenharia social para roubar informações confidenciais, especificamente iscas relacionadas às sanções ocidentais à Rússia.
Os atacantes conseguiram evitar a detecção por quase 11 meses usando ferramentas inéditas, um carregador multicamada sofisticado e um backdoor apelidado de SPINNER. Os pesquisadores da CPR nomearam esta campanha de “Twisted Panda” para refletir a sofisticação das ferramentas e sua atribuição à China.
A Check Point Research identificou três alvos de pesquisa de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma holding de defesa estatal russa chamada Rostec Corporation, que é o maior conglomerado da Rússia na indústria de radioeletrônica. O principal negócio das vítimas russas é o desenvolvimento e a fabricação de sistemas eletrônicos para fins de guerra, equipamentos radioeletrônicos especializados militares, estações de radar baseadas e meios de identificação do estado. Os institutos de pesquisa também estão envolvidos em sistemas para aviação civil, no desenvolvimento de uma variedade de produtos civis, como equipamentos médicos e sistemas de controle para indústrias de energia, transporte e engenharia.
Metodologia dos atacantes chineses
Para realizar o ataque, os cibercriminosos enviam a seus alvos um e-mail de phishing contendo um documento que usa as sanções ocidentais contra a Rússia como isca. Quando a vítima abre o documento, ela baixa o código malicioso do servidor controlado pelo atacante, que instala e executa secretamente um backdoor na máquina da vítima. Esse backdoor coleta os dados sobre o dispositivo infectado e os envia de volta ao cibercriminoso. Em seguida, com base nessas informações, o atacante pode executar comandos adicionais ou coletar dados confidenciais dele. Os atacantes chineses têm feito espionagem cibernética contra a Rússia há 11 meses.
Essa ameaça se aproveita de e-mails maliciosos de spear-phishing que usam técnicas de engenharia social. Em 23 de março deste ano, e-mails maliciosos foram enviados a vários institutos de pesquisa de defesa baseados na Rússia com a linha de assunto “Lista de pessoas de <nome do instituto-alvo> sujeitas às sanções dos EUA por invadir a Ucrânia”, contendo um link para um site controlado por atacantes imitando o Ministério da Saúde da Rússia, bem como um documento malicioso anexado. No mesmo dia, um e-mail semelhante também foi enviado para uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Disseminação de patógenos mortais na Bielorrússia pelos EUA”. Todos os documentos anexados foram elaborados para se parecerem com documentos oficiais do Ministério da Saúde da Rússia, com seu emblema e título oficial.
Atribuição
As Táticas, Técnicas e Procedimentos (TTPs) desta operação permitem que a CPR a atribua ao APT chinês. A campanha “Twisted Panda” apresenta várias coordenações com atacantes chineses de ciberespionagem avançada e de longa data, incluindo APT10 e Mustang Panda.
“Expusemos uma operação de espionagem em andamento contra institutos de pesquisa de defesa russos que foi realizada por cibercriminosos experientes e sofisticados apoiados pela China. Nossa investigação mostra que isso faz parte de uma operação maior que tem como alvo entidades relacionadas à Rússia há cerca de um ano. Descobrimos duas instituições de pesquisa de defesa direcionadas na Rússia e uma entidade na Bielorrússia”, relata Itay Cohen, chefe de pesquisa da Check Point Software.
“Talvez a parte mais sofisticada da campanha seja o componente de engenharia social. O momento dos ataques e as iscas usadas são inteligentes. Do ponto de vista técnico, a qualidade das ferramentas está acima da média, mesmo para grupos APT. Acredito que nossas descobertas servem como mais uma evidência de que a espionagem é um esforço sistemático e de longo prazo a serviço dos objetivos estratégicos da China para alcançar a superioridade tecnológica. Nesta pesquisa, vimos como os atacantes chineses patrocinados pelo Estado estão aproveitando a guerra em andamento entre a Rússia e a Ucrânia, liberando ferramentas avançadas contra quem é considerado um parceiro estratégico: a Rússia.”
