Operação Pawn Storm: Informações e últimas evoluções

Operação Pawn Storm: Informações e últimas evoluções

Atualização: Novo dia-zero do Adobe Flash usado na campanha Pawn Storm

Desde 13 de outubro, descobrimos que os agressores por trás do Pawn Storm estão usando o código de exploração de dia-zero do Adobe Flash em sua campanha. Essa vulnerabilidade em particular continua sem patch, tornando os usuários do Flash vulneráveis aos ataques. Baseado em nossa análise, o dia-zero do Flash afeta pelo menos as versões 19.0.0.185 e 19.0.0.207 do Adobe Flash Player.

No recente desenvolvimento dessa campanha, vários ministérios de relações exteriores receberam emails spear-phishing contendo links que, supostamente, traziam informações sobre os eventos políticos atuais. Porém, na realidade, as URLs hospedavam o exploit. Os emails contêm os seguintes tópicos:

  • Carro bomba suicida visa o comboio da tropa da OTAN em Cabul
  • Tropas sírias ganham força enquanto Putin defende ataques aéreos
  • Israel lança ataques aéreos sobre alvos em Gaza
  • Alertas da Rússia em resposta ao relatado acúmulo de armas nucleares dos EUA na Turquia, Europa
  • Exército dos EUA relata que 75 rebeldes treinados retornam a Síria

Serão feitas atualizações sobre esses acontecimentos pois notificamos a Adobe e continuaremos a monitorar esse problema de segurança.

A Operação Pawn Strom é uma campanha de ciberespionagem em andamento, abrangente e ambiciosa. Ela é conhecida por visar organizações e instituições governamentais, tais como a OTAN e a Casa Branca, e já foi vista visando personalidades políticas de alto nível na Ucrânia e na Rússia; e acreditamos que a própria operação está sendo operada da Rússia. Publicamos nossas descobertas sobre a Operação Pawn Storm em outubro do ano passado, em um estudo intitulado Operação Pawn Storm: Usando chamarizes para evitar a detecção e temos monitorado seus movimentos e evoluções desde então.

Este artigo serve para revelar as mais recentes informações que descobrimos em relação a essa campanha de ciberespionagem e também informar aos leitores que podem estar familiarizados com a operação em si.

O que é a Operação Pawn Storm?

A Operação Pawn Storm é uma operação ativa de ciberespionagem política e econômica que tem como alvo uma ampla gama de entidades com perfil de alto nível, desde instituições governamentais até personalidades da mídia. Suas atividades foram vistas pela primeira vez em 2007 mas desenvolvimentos recentes revelaram detalhes mais completos sobre a operação em si, incluindo suas origens e alvos.

O que a diferencia de outros grupos/operações de ciberespionagem?

A Operação Pawn Storm é diferente de outros grupos de atores de ameaças com motivações políticas por seus métodos de ataques que incluem o seguinte:

  • Utilização de email spear-phishing contendo malware SEDNIT/Sofacy para alvos com sistemas Windows, Fysbis ou X-Agent para sistemas Linux. O email spear-phishing contém assuntos/matérias geopolíticas para levar o destinatário a abri-lo. O SEDNIT é um malware conhecido por suas backdoors e rotinas de roubo de informações.
  • Criação de páginas de login OWA falsas para as cargas do email spear-phishing. Em vez disso, uma variante de seus emails spear-phishing redireciona os usuários para uma página de login falsa do Outlook Web Access, esperando roubar suas credenciais de login. Uma das muitas vítimas desse método foi o contratado de defesa dos EUA, ACADEMI, antes conhecido como Blackwater.
  • Criação (e uso) de malware de iOS para espionagem. O aplicativo malicioso, detectado pela Trend Micro como IOS_XAGENT.A ou IOS_XAGENT.B, rouba todo tipo de de informação do dispositivo móvel que infecta, tais como mensagens, listas de contatos, dados de geolocalização, fotos e até gravações de voz.

Quem são seu alvos?

Os alvos conhecidos da Operação Pawn Storm (até a redação desse artigo) são os seguintes:

  • Entidades do governo, forças armadas e mídia dos EUA
  • Entidades do governo, forças armadas e da mídia de aliados dos EUA
  • Dissidentes russos/oponentes políticos do Kremlin
  • Ativistas ucranianos
  • Mídia ucraniana
  • Governo e militares da Ucrânia
  • OTAN e estados membros da organização
  • Governos na Europa, Ásia e Oriente Médio

Quais são os incidentes mais notáveis da história da Operação Pawn Storm?

Alguns dos incidentes mais notáveis da Operação Pawn Storm foram:

  • Junho, 2014 – sites do governo polonês comprometidos
  • Setembro, 2014 – visou uma grande concessionária de combustível nuclear configurando páginas de login falsa do Outlook Web Access de seus funcionários Lançou também ataques com uma página de login falsa da OWA contra instituiições militares e de defesa dos EUA e Europa
  • Dezembro, 2014 – atacou contas corporativas de 55 funcionários de um grande jornal dos EUA, usando um conta comprometida de um correspondente militar dos EUA, que tinham atacado no começo do mesmo mês
  • Janeiro, 2015 – visou três blogueiros populares do YouTube com um ataque de phishing no Gmail. O ataque aconteceu quatro dias depois dos blogueiros terem entrevistado o Presidente dos EUA, Barack Obama, na Casa Branca
  • Fevereiro, 2015 – foi descoberto que aplicativos maliciosos de iOS eram usados para espionagem Também atacaram o adido da OTAN na Ucrânia com um página do OWA falsa
  • Abril, 2015, lançou ataques contra membros da OTAN
  • Julho, 2015 – descoberto pela Trend Micro usando um novo exploit de dia-zero do Java
  • Julho, 2015 – redirecionou um de seus servidores C&C para um IP da Trend Micro

Quais foram os últimos desenvolvimentos relacionados à Operação Pawn Storm?

Os pesquisadores da Trend Micro conseguiram uma divisão estatística dos alvos da Operação Pawn Storm. As informações foram usadas para ajudar a entender as motivações dos grupos para os ataques, pois incluiu as estatísticas dos alvos e dos cliques da operação.

Nossa análise de dados – de ataques de phishing de credencias individuais de 12.000 indivíduos relacionados a Pawn Storm – revelaram o seguinte:

  • Cidadãos dos EUA e da Ucrânia de perfil de nível foram os maiores alvos demográficos.
  • Cidadão da Rússia ficaram com a terceira maior fatia do alvo demográfico, juntamente com o Reino Unido.
  • Os principais alvos dos EUA são as empresas de defesa e militares.
  • Os maiores setores alvos da Rússia são os pertencentes à mídia, diplomacia e hacktivismo. Um dos alvos ativistas mais notável é o Pussy Riot, um grupo de protesto feminista de punk rock. Outros alvos famosos incluem um antigo ex primeiro-ministro e um membro da Rússia Unida.
  • Os militares, a mídia, governo e figuras políticas na Ucrânia foram visados quase igualmente, com essas quatro categorias sendo responsáveis por cerca de dois terços de todos os alvos do país.

A nova informação confirma que a Operação Pawn Storm está se esforçando para atacar grandes alvos políticos, especialmente na Ucrânia. Isso pode ser vinculado ao recente conflito o qual o país está envolvido e também ao envolvimento atual dos EUA na questão. Assim, pode-se deduzir que a Operação Pawn Storm pode estar agindo a mando de partidos investidos na questão da Ucrânia, ou é simplesmente um grupo atípico agindo por contra própria.

A Operação Pawn Storm é uma campanha em andamento. Em nossa última pesquisa, descobrimos que os espiões russos por trás da Operação Pawn Storm aparentemente não discriminam. O TrendLabs Security Intelligence Blog tem mais detalhes sobre as mais recentes atualizações em relação a esse grupo, aqui.

Category: Ataques e Ameaças, Cibersegurança
Tags:
Trend Micro

Categorias

Veja outras publicações

Menu