Operação Panda-19: cadeia massiva de infeção de malware por hackers chineses sob o tema Coronavírus

operação panda19: ataque de hacker schineses com base no tema coronavírus

A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, detetou um ciberataque organizado por um grupo APT chinês contra o Ministério dos Negócios Estrangeiros da Mongólia. Este grupo, aproveitando-se do fluxo de notícias e alerta geral em volta da expansão do Coronavirus, utilizou a identidade do Ministério dos Negócios Estrangeiros da Mongólia e enviou diversos documentos maliciosos em anexo através de email para os funcionários públicos desse país. O objetivo foi persuadir, utilizando mensagens centradas na atual situação deste vírus, para que dessem aos cibercriminosos acesso remoto à rede e deixarem uma porta aberta para o roubo de informação confidencial.

Os especialistas da empresa assinalam que um dos documentos relacionados com o COVID-19, intitulava-se “Sobre a propagação de novas infeções de Coronavirus” e inclusivamente citava o Comité Nacional de Saúde da China. A Check Point rastreou o ciberataque e detetou a autoria graças à extração de impressões digitais deixadas  pelos hackers no seu próprio código de malware armazenado nos seus servidores, os quais estiveram disponíveis por alguns segundos na Internet, Graças a esses dados, os investigadores puderam descobrir a origem desta cadeia, concluindo que o grupo chinês PAT estava a trabalhar neste tipo de ataques desde 2016 com o objetivo habitual de roubo de informação de entidades públicas e empresas de telecomunicações de distintas partes do mundo: Rússia, Ucrânia, Bielorússia e agora Mongólia. 

Como conseguiram levar a cabo esta campanha massiva de infeção de malware?

Este grupo de cibercriminosos infetava os ficheiros com um vírus conhecido como RoyalRoad, que descarrega um ficheiro na pasta de arranque do Word para levar a cabo uma “técnica de persistência”, que consiste em cada vez que se inicia esta aplicação, inicia-se uma cadeia de infeção de todos os ficheiros com extensão WLL. Assim, independentemente do ficheiro que se abra no Word, produz-se um download de malware que infecta o equipamento do utilizador e permite aceder e roubar grandes quantidades de informação sensível.

Por outra parte, o cibercriminoso que se encontra por trás deste ciberataque operava num servidor C&C dentro de uma janela diária limitada, pondo-se online somente umas poucas horas a cada dia, o que torna mais difícil analizar e aceder às partes avançadas da cadeia de infeção. Isto demonstra como os cibercriminosos aproveitam as mais variadas temáticas para lançar campanhas massivas de ciberataques. Neste momento, a Check Point já referenciou mais de 4000 domínios relacionados com o Coronavirus em todo o mundo, e destes domínios cerca de metade estão a ser usados para fins maliciosos com um impacto maior que média dos ciberataques. 

“O COVID-19 não representa somente uma ameaça física, como também uma ciberameaça. Neste sentido, a nossa investigação desmascara o grupo chinês de APT que se aproveitou do interesse público sobre tudo o que seja relacionado com o Coronavirus para benefício próprio, decidindo assim usar para criar uma nova cadeia de infeções informáticas”. Refere Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Também descobrimos que este grupo não só estava a atacar a Mongólia, como também outros países. Daí, que a Check Point já avisou todos os organismos públicos e de telecomunicações a nível mundial para protegerem os seus documentos e sites web que estejam relacionados com o Coronavirus”, acrescenta.

Passos para estar protegidos contra este tipo de ciberameaças

Mesmo que o objetivo deste grupo fossem funcionários de instituições públicas, os especialistas da Check Point advertem para qualquer pessoa ou empresa poder converter-se numa nova vítima deste tipo de ataque informático. Por este motivo, a empresa reforça que “a prevenção é a melhor medida de segurança para combater este tipo de ciberameaças. Desconfiar de mensagens que provenham de remetentes desconhecidos, bem como não fazer download de ficheiros em anexo, nem clicar em links desses emails ajudará a proteger os seus equipamentos e a informação, reduzindo em grande medida a possibilidade de converter-se numa nova vítima destes grupos de cibercriminosos”.

Por outro lado, os especialistas da Check Point aconselham a implementar ferramentas de cibersegurança em todos os dispositivos, já que a prevenção é a melhor maneira de evitar riscos. A empresa conta com o SandBlast Mobile, uma solução contra ameaças móveis avançadas com infraestrutura On-device Network Protection. Ao rever e controlar todo o tráfego de rede do dispositivo, o SandBlast Mobile evita os ataques de roubo de informação em todas as aplicações, correio eletrónico, SMS, iMessage e aplicações de mensagens instantâneas. Esta solução evita tanto o acesso a sites web maliciosos como o acesso e comunicação do dispositivo com botnets, para o qual valida o tráfego no próprio dispositivo sem ler os dados através de um gateway corporativo.

Artigo anteriorPróximo artigo
Avatar
Nilton é um entusiasta das novas tendências tecnológicas e do impacto que estas têm nas organizações e no nosso dia a dia.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.