.
Os produtos de espionagem que se pensa terem sido desenvolvidos pela China foram mais uma vez avistados na rede eléctrica de um país vizinho.
De acordo com a equipe Threat Hunter da Symantec na terça-feira, uma equipe apelidada de Redfly infiltrado a rede nacional de uma nação asiática não identificada usando o Trojan ShadowPad, roubou credenciais, instalou malware adicional e migrou lateralmente para vários sistemas na rede infectada durante seis meses de acesso persistente.
Se isso parece familiar, há uma boa razão para isso: ShadowPad foi o malware do Windows usado pelo que se acredita ter sido uma tripulação apoiada por Pequim para infectar a rede elétrica indiana perto da fronteira com a China no ano passado. Nesse ataque, acredita-se que os bisbilhoteiros tenham se infiltrado nos sistemas de computadores da rede por meio de dispositivos vulneráveis voltados para a Internet – como câmeras IP, DVRs e similares – para instalar o ShadowPad.
A Symantec não mencionou uma rota de entrada neste ataque mais recente – apenas que começou a partir de um único computador comprometido.
Nesta intrusão, o ShadowPad se disfarçou como arquivos e diretórios de programas VMware para se esconder. Uma vez instalado, ele descarregou ferramentas adicionais, incluindo um keylogger e algo que descriptografou cargas de código criptografado para execução.
De acordo com a Symantec, uma variante do ShadowPad foi usada no ataque, com relação direta com o ataque à Índia no ano passado: ele usou o mesmo servidor de comando e controle remoto (C2) codificado. Embora não tenha tirado conclusões, o principal analista de inteligência da equipe Symantec Threat Hunter, Dick O’Brien, nos disse que a mesma infraestrutura foi definitivamente usada.
“É possível que sejam o mesmo ator”, disse O’Brien Strong The Onemas “[the use of ShadowPad] e a sobreposição C2… é a extensão da ligação no momento.”
A Redfly – se for a mesma equipa que atacou a Índia anteriormente – parece estar focada em tais ataques a nível estatal, renunciando a alvos comerciais mais lucrativos em favor daqueles com elevado valor de inteligência.
Seja quem for, os ataques à infraestrutura estão apenas começando
A intrusão do Redfly não resultou em nenhuma interrupção, disse a Symantec, mas não é a única investigação indesejada de infraestrutura nacional crítica (CNI) que aconteceu recentemente.
Agências de segurança Five Eyes avisou em Maio, tripulações chinesas perpetuaram ataques de pessoas que vivem fora da terra para obter acesso persistente a sistemas de infra-estruturas críticas nos EUA – semelhante ao que a Redfly fez na rede do seu alvo asiático não identificado.
A China também não é o único país conhecido por atacar infra-estruturas. A Rússia tem sido trepando com Ucrânia durante todo o processo de invasão da segunda pela primeira, e muito antes esse conflito começou. Os EUA e Israel exausto máquinas cruciais na fábrica de enriquecimento de urânio do Irão, se bem se lembram. Esses são apenas dois exemplos.
E as coisas não estão melhorando. “A frequência com que as organizações da CNI estão sendo atacadas parece ter aumentado no ano passado e agora é uma fonte de preocupação”, alertou a Symantec.
“Obter uma capacidade disruptiva pode ser uma possível motivação por trás desse aumento nos ataques CNI”, disse-nos O’Brien, o que significa que quem está usando o ShadowPad adicionou algumas funcionalidades que podem ter efeitos no mundo real.
Embora a Symantec tenha notado que a intrusão detectada estava restrita à rede elétrica, O’Brien observou que a Microsoft observações de ataques semelhantes lançados pela tripulação do Volt Typhoon, ligada à China, não foram tão focados.
“Eles listaram os setores de comunicações, manufatura, serviços públicos, transporte, construção, marítimo, governamental, tecnologia da informação e educação”, disse O’Brien. Em outras palavras, já é hora de aqueles que atuam no mundo da infraestrutura crítica, independentemente do seu setor específico, começarem a ficar de olho nos relatórios de inteligência de ameaças e a desenvolver bons hábitos de correção. ®
.
