A campanha Pawn Storm tem um longa história visando agências governamentais e organizações privadas para roubar informações sensíveis. Nossas mais recentes descobertas mostram que eles visaram a equipe internacional de investigação da queda do voo MH17, de diferentes lados.
O Conselho de Segurança Holandês (conhecido como Onderzoeksraad) se tornou alvo do grupo de espionagem cibernética antes e depois de ter publicado seu relatório detalhado sobre o incidente do voo MH16 em 13 de outubro de 2015. Acreditamos que um ataque coordenado feito de diferentes lados, foi lançado para obter acesso não autorizado ao material confidencial da investigação conduzida pelas autoridades holandesas, malaias, australianas, belgas e ucranianas.
Figura 1. Site oficial do Conselho de Segurança Holandês e a divulgação para a imprensa das investigações do voo MH17
Descobrimos que um servidor falso imitando um servidor SFTP do Conselho de Segurança Holandês foi configurado em 28 de setembro de 2015; mais tarde um servidor VPN da mesma organização foi configurado em 14 de outubro de 2015. É bastante provável que eles foram usados em ataques de phishing de credenciais contra o pessoal do Conselho de Segurança para obter acesso não autorizado tanto ao SFTP quanto ao VPN.
Essa foi a primeira vez que tivemos evidências diretas de que um grupo de APT tentou um acesso não autorizado a um servidor VPN. O servidor VPN do Conselho de Segurança parece usar tokens temporários para autenticação. Porém, esses tokens podem ser “pescados” de uma maneira direta e apenas os tokens não protegem contra um só acesso de outras pessoas não autorizadas, depois que o alvo cai no ataque de phishing.
Os ataques não se limitaram ao Conselho de Segurança Holandês. Em 29 de setembro de 2015, um servidor falso do Outlook Web Access (OWA) foi configurado para visar um importante parceiro de investigação do Conselho de Segurança Holandês sobre o voo MH17. Conseguimos alertar o grupo afetado bem no começo e, assim provavelmente impedir o sucesso do ataque.
Essas descobertas mostram que é bem possível que a Pawn Storm tenha coordenado os ataques contra diferentes organizações para obter informações sensíveis sobre o acidente com o voo MH17.
Pawn Storm e Síria
A Operação Pawn Storm também intensificou os ataques contra os grupos de oposição sírios e países árabes que contestaram as recentes intervenções da Rússia na Síria.
Em setembro passado, vários membros da oposição síria no exílio foram alvos de ataques avançados de credenciais. Depois, em setembro e outubro de 2015, vários servidores do OWA falsos foram configurados visando militares, ministérios de defesa e de relações exteriores de todos os países árabes que criticaram a intervenção da Rússia na Síria.
Figura 2. Servidor do OWA falso das forças armadas de um país árabe visado
A Campanha Pawn Storm
A Pawn Storm está realizando uma campanha de espionagem cibernética com numerosos alvos internacionais, inclusive a Casa Branca e a Organização do Tratado do Atlântico Norte. Mas nossa pesquisa também mostra que, apesar dos alvos da Pawn Storm serem na maioria entidades políticas de fora da Rússia, uma grande quantidade de alvos na realidade são encontrados dentro da fronteira do país. Alguns de seus alvos “locais” incluem ativistas pacifistas, blogueiros e políticos.
Para seus ataques de espionagem cibernética, a Pawn Storm também é conhecida por lançar campanhas de phishing simples mas eficazes contra organizações que têm seus emails expostos na Internet. O grupo também é conhecido por usar explorações de dia-zero.
