A Check Point® Software Technologies Ltd. (NASDAQ:CHKP) descobriu o Naikon, um grupo chinês APT que já leva 5 anos de atividade maliciosa ao realizar operações de ciberespionagem contra vários governos da região Ásia-Pacífico. O grupo Naikon reconheceu em 2015 a autoria de vários ataques contra organismos governamentais e outras organizações de países situados na região do Mar da China, com o objetivo de aceder a informação política confidencial. No entanto, este grupo parecia ter cessado a sua atividade ainda no mesmo ano, mas foi somente aparência, pois os investigadores da Check Point descobriram que o grupo não só se manteve ativo durante os últimos cinco anos, como também aumentou o número de ações de ciberespionagem durante todo o ano de 2019 e primeiro semestre de 2020.
Este grupo de cibercriminosos direciona os seus ataques a entidades governamentais como ministérios dos negócios estrangeiros ou ciência e tecnologia dos países da região Ásia-Pacífico, de onde se destacam a Austrália, Indonésia, Filipinas, Vietname, Tailândia, Myanmar e Brunei. O seu principal objetivo é reunir uma grande quantidade de informação confidencial com fins geopolíticos.
Como o grupo Naikon desenvolve os seus ataques?
O modus operandi deste grupo consistia em infiltrar-se num organismo governamental com o objetivo de utilizar os seus contactos e documentos para lançar ataques contra outras entidades, aproveitando-se da confiança e das relações diplomáticas para aumentar a sua percentagem de sucesso dos seus ataques. Os especialistas da Check Point começaram a sua investigação ao analisar um e-mail enviado ao governo australiano que incluía um documento anexado infetado. Este ficheiro continha um explorador que, ao ser aberto, se infiltrava no PC do utilizador e tentava descarregar um novo e sofisticado malware de backdoor chamado “Aria-body” a partir de servidores web externos utilizados pelo grupo Naikon. Desta forma, o grupo de cibercriminosos obtinha acesso remoto ao equipamento ou à rede infetada sem que nenhuma ferramenta de segurança o detetar.
A cadeia de infeção passava por três etapas:
- Roubar a identidade de um organismo governamental para enganar a vítima: Naikon começa o seu ataque com um e-mail com um documento que contém informação de interesse para os seus alvos. Estes dados podem obter-se de fontes abertas, porém o grupo procura utilizar informação de outros sistemas.
- Infetar os documentos com malware para infiltrar-se nos sistemas de destino: o grupo de cibercriminosos infeta os documentos com “Aria-body”, um malware de tipo backdoor que lhes oferece acesso às redes dos seus alvos.
- Usar os próprios servidores dos governos para continuar e controlar os ataques: o grupo Naikon aproveita-se das infraestruturas e dos servidores das suas vítimas para lançar novos ataques, o que contribui a evitar a sua deteção. Os especialistas da Check Point descobriram num dos casos que analisaram que o servidor que tinha sido utilizado para o ataque pertencia ao departamento de ciência e tecnologia do governo das Filipinas.
“Naikon tentou atacar um dos nossos clientes fazendo-se passar por um governo estrangeiro e foi nesse momento que voltaram ao nosso radar depois de cinco anos de ausência, e decidimos investigar mais a fundo. Descobrimos que se trata de um grupo chinês APT que utilizam ferramentas muito sofisticadas. O seu objetivo é reunir informação confidencial e espiar os países, e para tal passaram os últimos anos a desenvolver na obscuridade ciberameaças como o “Aria-body”, um novo malware de tipo backdoor”, explica Lotem Finkelsteen, Threat Intelligence Director da Check Point. “Para evitar serem detetados, utilizavam exploradores atribuídos a outros grupos APT e aproveitavam-se dos servidores das suas vítimas como centros de comando e controol. A Check Point, quer tornar pública esta investigação para alertar a todas as entidades governamentais da necessidade de extremar as suas medidas de segurança face a este ou qualquer outro grupo de cibercriminosos”, reforça Finklesteen.
Os especialistas da Check Point recomendam que deve adotar as melhores ferramentas de segurança para poder fazer frente a estas novas gerações de ciberameaças, que são cada vez mais sofisticadas. A Check Point conta com o SandBlast Agent, que oferece uma prevenção contra ameaças nos end points completa contra os ataques de dia zero, com um índice de bloqueio de 100%, incluindo para ameaças desconhecidas com zero falsos positivos.
