Ciberespionagem chinesa aponta a institutos de investigação de defesa

A Check Point Research (CPR) detetou uma operação de ciberespionagem em curso, que tem como alvo os institutos de investigação de defesa russos. Atribuída a agentes de estado-nação chineses, a operação utiliza e-mails phishing direcionados enviados sob o disfarce do Ministério da Saúde russo para recolher informação sensível.

Os e-mails identificados pela CPR continham documentos maliciosos que utilizam as sanções ocidentais contra a Rússia como isco, entre outras técnicas de manipulação. Os atacantes conseguiram escapar à deteção durante quase 11 meses, utilizando novas e indocumentadas ferramentas que a CPR detalha agora pela primeira vez. A CPR deu o nome de “Twisted Panda” à campanha para refletir a sofisticação das ferramentas observadas e rastreadas até à China.

A CPR identificou três alvos de investigação de defesa, dois na Rússia e um na Bielorrússia. As vítimas russas pertencem a uma sociedade holding dentro do conglomerado de defesa estatal russo chamado Rostec Corporation, que é a maior sociedade holding russa na indústria radioeletrónica. A principal área de negócio das vítimas russas é o desenvolvimento e fabrico de sistemas eletrónicas para guerra, equipamento radioeletrónico de bordo especializado para fins militares, estações de radar aéreas e meios de identificação de estados. As entidades de investigação estão também envolvidas em sistemas aeronáuticos de aviação civil, no desenvolvimento de uma variedade de produtos civis, tais como equipamentos médicos e sistemas de controlo para as indústrias de energia, transporte e engenharia.

Inicialmente, os atacantes enviam aos seus alvos um e-mail de phishing criado especificamente para o recetor. O e-mail contém um documento que utiliza as sanções ocidentais contra a Rússia como isco. Quando a vítima abre o documento, é descarregado um código malicioso proveniente de um servidor controlado pelo atacante, que instala e corre secretamente um backdoor no computador da vítima. Este backdoor recolhe os dados sobre a máquina infetada, enviando-os de volta para o atacante. Depois, com base nesta informação, o atacante pode ainda utilizar o backdoor para executar vários comandos no computador da vítima ou recolher dados sensíveis a partir dela.

Os agentes utilizam e-mails maliciosos de phishing que utilizam técnicas de manipulação para chegar ao seu objetivo. A 23 de Março, foram enviados e-mails maliciosos a vários institutos de investigação de defesa sediados na Rússia. Os e-mails que tinham como assunto “Lista de pessoas de <nome do instituto alvo>  sob sanções dos EUA por invasão da Ucrânia”, e continham um link para um site controlado por atacantes que imitava o Ministério da Saúde da Rússia, bem como um documento malicioso anexado. No mesmo dia, um e-mail semelhante foi também enviado a uma entidade desconhecida em Minsk, Bielorrússia, com o assunto “Estados Unidos propagam agentes patogénicos mortais na Bielorrússia”. Todos os documentos em anexo foram elaborados para parecerem documentos oficiais do Ministério da Saúde russo, com o seu emblema e título oficial.