Apesar da proximidade, hackers chineses atacam a Rússia

A empresa de cibersegurança Check Point Research detectou uma operação de espionagem cibernética que tem como alvo os Institutos de Pesquisa de Defesa da Rússia atualmente ativos. Atribuída a hackers chineses, a operação possui técnicas de engenharia social para roubar informações confidenciais, especificamente iscas relacionadas às sanções ocidentais contra o governo russo.

De acordo com a Check Point, os hackers conseguiram evitar a detecção por quase 11 meses usando ferramentas inéditas: um carregador multicamada sofisticado e um backdoor apelidado de Spinner. A campanha foi nomeada pela empresa como “Twisted Panda”, para refletir a sofisticação das ferramentas e sua atribuição à China.

Foram identificados três alvos de pesquisa de defesa: dois na Rússia e um na Bielorrússia. As vítimas russas pertencem, segundo a Check Point, a uma holding de defesa estatal russa, a Rostec Corporation — atualmente o maior conglomerado da indústria de radioeletrônica no país. O principal negócio das vítimas russas é o desenvolvimento e a fabricação de sistemas eletrônicos para fins de guerra, equipamentos radioeletrônicos especializados militares, estações de radar baseadas e meios de identificação do estado.

Os hackers chineses enviam a seus alvos um e-mail de phishing contendo um documento que usa as sanções ocidentais contra a Rússia como isca. Quando a vítima abre o documento, ela baixa o código malicioso do servidor controlado pelo atacante, que instala e executa secretamente um backdoor na máquina da vítima. O backdoor coleta os dados sobre o dispositivo infectado e os envia de volta aos hackers, que fazem espionagem cibernética contra a Rússia, segundo a Check Point, há 11 meses.

Documentos imitavam emblema do Ministério da Saúde da Rússia

A ameaça se aproveita de e-mails maliciosos de spear-phishing que usam técnicas de engenharia social. No último dia 23 de março, e-mails maliciosos foram enviados a institutos de pesquisa de defesa na Rússia com a linha de assunto “Lista de pessoas de <nome do instituto-alvo> sujeitas às sanções dos EUA por invadir a Ucrânia”, contendo um link para um site controlado por atacantes imitando o Ministério da Saúde da Rússia. No mesmo dia, um e-mail semelhante também foi enviado para uma entidade desconhecida em Minsk (Bielorrússia), com o assunto “Disseminação de patógenos mortais na Bielorrússia pelos EUA”.

Todos os documentos anexados foram elaborados para se parecerem com documentos oficiais do Ministério da Saúde da Rússia, com emblema e título oficial.

As TTPs (táticas, técnicas e procedimentos) utilizadas na operação permitiram à Check Point atribuí-la ao APT (ameaça persistente avançada) chinês. Segundo a empresa, a campanha “Twisted Panda” apresenta várias coordenações com hackers chineses de ciberespionagem avançada e de longa data, incluindo o APT10 e o Mustang Panda.

Itay Cohen, chefe de pesquisa da Check Point, afirma que a parte mais sofisticada da campanha é a engenharia social: o momento dos ataques e as iscas usadas são “inteligentes” e, do ponto de vista técnico, a qualidade das ferramentas está acima da média, mesmo para grupos APT.

“É mais uma evidência de que a espionagem é um esforço sistemático e de longo prazo a serviço dos objetivos estratégicos da China para alcançar a superioridade tecnológica”, disse. “Vimos como os atacantes chineses patrocinados pelo Estado estão aproveitando a guerra em andamento entre a Rússia e a Ucrânia, liberando ferramentas avançadas contra quem é considerado um parceiro estratégico: a Rússia.”