Campanha de espionagem altamente direcionada visava roubar dados de diplomata

Pesquisadores em segurança revelaram uma campanha de espionagem política altamente especializada, realizada por cibercriminosos de origem iraniana contra um diplomata da Jordânia. O objetivo era roubar dados sigilosos do computador da vítima, a partir da utilização de técnicas avançadas para escapar da detecção de sistemas de segurança e monitoramento em tempo real.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Medo de ciberataques russos leva governo dos EUA a investigar Kaspersky

A campanha maliciosa descoberta pela Fortinet foi associada ao grupo Oilrig, também conhecido como APT34, e envolveu ferramentas criadas especialmente para essa operação. Essa é a maior demonstração, entre tantas, de um trabalho altamente especializado e planejado, com prováveis conexões políticas e alto potencial de sucesso.

O golpe começou com um e-mail fraudulento, em nome de um colega servidor do governo da Jordânia, que carregava um arquivo do Excel com macros maliciosos. O remetente, claro, foi fraudado com técnicas de spoofing, como forma de esconder a caixa real de origem, enquanto a abertura da planilha gerava arquivos executáveis e de configuração voltados, também, a estabelecer permanência no computador infectado.

Uma característica inusitada citada pela Fortinet é que o e-mail foi mandado de madrugada, enquanto o malware foi programado para permanecer dormente por oito horas antes de começar a agir. Seria uma forma de garantir que a vítima abrisse a mensagem pela manhã, mas com a operação de espionagem aconteceria apenas depois do expediente, em um momento no qual a máquina ficasse desatendida pelo usuário e administradores de segurança.

No horário marcado, começava a comunicação da praga customizada com servidores de controle, criados com nomes de marcas como AstraZeneca, HSBC e Cisco para evadir detecção. O malware também é capaz de criar um túnel DNS para enviar e receber instruções, com dados criptografados que também dificultam a identificação de tráfego malicioso e o recebimento de comandos que executam as tarefas de espionagem.

Por fim, acontece a retirada dos dados, também por um túnel protegido por criptografia, de forma a evitar identificação e interceptação. O fluxo também é ocultado como se fosse logs de atividade de rede, informações comuns trocadas entre computadores e servidores para fins de monitoramento, aumentando ainda mais a já grande capacidade da praga em se manter oculta.

A Fortinet aponta ainda para um cuidado da quadrilha em criar softwares que deixem o menor número de rastros possível. Essa, inclusive, é uma característica comum do Oilrig, um grupo cibercriminoso que já foi ligado ao governo iraniano mas possui atuações esporádicas, justamente como forma de ocultar seu método de ação e, também, as próprias ferramentas de análises como a que foi publicada pela empresa de segurança.

Os indícios são de uma operação de extração de dados e espionagem bem-sucedida, mas o nome da vítima, claro, não foi divulgado. Os especialistas também revelaram indicadores de comprometimento e outras informações técnicas que auxiliam no monitoramento da praga, no caso de outros ataques que possam estar em andamento.

Fonte: Fortinet