Dezenas de sistemas utilizados por órgãos governamentais e empresas de TI na Rússia teriam sido alvo de ataques de hackers chineses.
A Kaspersky Lab, renomada empresa de segurança cibernética com sede em Moscou, revelou que o malware de backdoor utilizado para invadir os sistemas foi o "GrewApacha", um trojan associado ao grupo de espionagem cibernética chinês conhecido como APT31 (Advanced Persistent Threat 31), ativo desde pelo menos 2021.
O APT31 é amplamente acreditado como vinculado ao Ministério da Segurança do Estado (MSS), a agência de espionagem civil da China. No início deste ano, o Departamento de Justiça dos Estados Unidos indiciou vários cidadãos chineses e uma empresa sob a acusação de realizarem operações cibernéticas em nome do APT31.
Segundo um relatório publicado em 8 de agosto pelo site SecureList, gerido pela Kaspersky Lab, os invasores infectaram dispositivos por meio de e-mails de phishing que continham arquivos de atalho maliciosos como anexos. Essa campanha de ataques, focada na Rússia, foi apelidada de "EastWind" pela Kaspersky.
Ao clicarem nos arquivos maliciosos, as vítimas inadvertidamente iniciaram a instalação do malware, que então se comunicava com o armazenamento em nuvem do Dropbox para receber comandos adicionais.
"Com a ajuda desse software, os invasores baixaram outros trojans nos computadores comprometidos, incluindo ferramentas usadas pelo grupo APT31, além de uma versão atualizada do backdoor CloudSorcerer", detalha o relatório.
Trojan é um tipo de malware que se disfarça como software legítimo para enganar os usuários e levá-los a instalá-lo. Uma vez instalado, ele pode executar uma série de ações maliciosas, como espionagem, roubo de dados e fornecimento de acesso não autorizado aos criminosos cibernéticos.
O relatório da SecureList também observou que os métodos usados nesses recentes ataques cibernéticos eram semelhantes aos empregados anteriormente contra uma organização nos Estados Unidos.
Em um relatório do mês passado, a SecureList descreveu o CloudSorcerer atualizado como "um conjunto de ferramentas sofisticadas voltado para entidades governamentais russas". A capacidade do malware de adaptar dinamicamente seu comportamento com base no processo em execução, juntamente com o uso de comunicação complexa entre processos por meio de pipes do Windows, destaca ainda mais seu nível avançado de sofisticação.
Os Ministérios das Relações Exteriores da Rússia e da China não responderam imediatamente a pedidos de comentário sobre o assunto.
No ano passado, os chefes das agências de inteligência dos países da aliança Five Eyes — EUA, Reino Unido, Canadá, Austrália e Nova Zelândia — alertaram sobre a ameaça representada pelo uso de tecnologia avançada pela China para realizar hacking e roubo de propriedade intelectual em larga escala.
Este ano, uma fonte anônima vazou evidências de uma vasta campanha de vigilância realizada pela I-Soon, uma empresa chinesa contratada e afiliada ao MSS. Os alvos dessa campanha variavam desde governos estrangeiros, políticos e grupos de reflexão até cidadãos privados chineses.
Em resposta ao vazamento, o Ministério das Relações Exteriores da China afirmou que "se opõe firmemente e reprime todas as formas de ataque cibernético em conformidade com a lei".
Via - NW
Comments