A campanha de APT de longa duração, Operação Pawn Storm, começou o ano fazendo barulho, apresentando uma nova estrutura e mirando em alvos que incluem membros da Organização do Tratado do Atlântico Norte (OTAN) e a Casa Branca. Isso está de acordo com a mais recente inteligência obtida pela pesquisa em curso da Trend Micro sobre o grupo de ataque e vem como uma continuação de nosso relatório, amplamente divulgado, de outubro de 2014.
Operação Pawn Storm: Histórico
A Operação Pawn Storm é uma operação de espionagem cibernética política e econômica, visando uma ampla gama de entidades, como os setores militares, governamentais, de defesa e a mídia.
A associação é composta por um determinado grupo de atores de ameaças, ativos desde 2007 pelo menos, com um modus operandi muito específico. Nós o chamamos assim devido às múltiplas ferramentas e táticas conectadas, usadas pelos agressores para atingir um alvo específico – uma estratégia que espelha o movimento do peão do jogo de xadrez.
O grupo usou três cenários de ataque muito distintos. Um foi o de enviar emails spear-phishing com documentos Microsoft® Office maliciosos, contendo o malware SEDNIT/Sofacy, que rouba informações. Outro foi o de injetar exploits seletivos em sites governamentais poloneses, levando ao mesmo malware. Uma estratégia final foi a de enviar emails de phishing redirecionando os usuários para páginas de login falsas do site Microsoft Outlook Web Access (OWA).
A Operação Pawn Storm visou principalmente organizações militares, governamentais e de mídia dos Estados Unidos e de seus aliados. Nós determinamos que o grupo também direcionou seus ataques contra dissidentes russos, opositores do Kremlin e ativistas e militares ucranianos, levando à especulação de que poderia haver uma conexão com o governo russo.
Também observamos outra atualização das operações da Pawn Storm em fevereiro desse ano e descobrimos uma aplicação iOS de espionagem visando os usuários da Apple.
O Que é Novo na Operação Pawn Storm?
Houve uma grande quantidade de atividade do grupo no primeiro trimestre de 2015. Particularmente, essa operação envolveu dezenas de explorações de URLs e uma dezena de novos servidores comando e controle (C&C) visando membros da OTAN e governos da Europa, Ásia e Oriente Médio.
Com um modus operandi ligeiramente diferente do normal, observamos agressores da Pawn Storm enviando emails elaborados especialmente para levar os usuários a clicar em um link malicioso.
Em um dos casos, o assunto do email de spam foi o Corredor Meridional de Gás que a União Europeia iniciou para se tornar menos dependente do gás russo. Outros emails têm assuntos geopolíticos similares, por exemplo,o conflito entre russos e ucranianos e a Open Skies Consultative Commission da OSCE (Organização para Segurança e Cooperação na Europa).
Os emails normalmente têm um link para o que parece ser um site legítimo de notícias. Quando o alvo clica no link, ele primeiro carrega um fingerprinting script que envia de volta para os agressores detalhes como sistema operacional, fuso horário, navegador e plugins instalados. Quando certos critérios são atendidos, o site falso de notícias pode responder com uma mensagem de que um plugin HTML5 tem que ser instalado para visualizar o conteúdo do site. O add-on em questão na verdade é uma versão de spiware X-Agent ou Fysbis, se você for um usuário do Linux, e um Sednit, se for do Windows.
Os Mesmos Velhos Truques
Os atores de ameaças da Pawn Storm também continuam com sua estratégia de phishing. De fato, no final de 2014 eles criaram um email falso do Outlook Web Access (OWA) para uma grande empresa dos EUA que vende combustível nuclear para centrais elétricas.
Não é difícil ver que uma violação bem-sucedida nessa firma poderia levar a sérias consequências. Outros servidores OWA falsos incluem servidores novos, visando as forças armadas de dois membros europeus da OTAN. Uma versão falsa desse sistema de email do Contato da OTAN na Ucrânia também foi colocada online em fevereiro deste ano.
Casa Branca Sob Ataque
A Trend Micro reuniu evidências de que o mesmo grupo está de olho na Casa Branca, como um alvo. Eles visaram três blogueiros populares no YouTube com um ataque de phishing de Gmail em 26 de janeiro de 2015, quatro dias depois dos blogueiros entrevistarem o presidente Obama na Casa Branca. Essa é uma técnica island hopping clássica, na qual os agressores concentram seus esforços não no alvo real mas nas empresas ou pessoas que podem ter interagido com aquele alvo e que podem ter uma segurança mais fraca.
De uma maneira semelhante, um correspondente militar bem conhecido de um grande jornal dos EUA foi atingido através de seu endereço de email pessoal, em dezembro de 2014, provavelmente vazando suas credenciais. Mais tarde nesse mês, a Operação Pawn Storm atacou as contas corporativas de cerca de 55 funcionários do mesmo jornal.
As organizações devem se manter muito alertas para esse tipos de ataque, já que os hackers da Operação Pawn Storm fazem o possível para fazer seus emails parecerem legítimos. Órgãos militares e governamentais, especialmente nos EUA, Europa e Ásia, devem investir em ferramentas avançadas de segurança cibernética para bloquear phishing e downloads de malware, e melhorar o treinamento e a educação do usuário, reduzindo os riscos de um ataque.