Um grupo de ciberespionagem de língua russa pouco conhecido está ligado a uma nova campanha de vigilância politicamente motivada, visando altos funcionários do governo, serviços de telecomunicações e infraestruturas de serviços públicos no Tajiquistão.
O conjunto de intrusão, apelidado de Paperbug pela empresa suíça de cibersegurança PRODAFT, foi atribuído a um ator de ameaça conhecido como Octopus Nômade (também conhecido como DustSquad).
"Os tipos de máquinas comprometidas variam de computadores de indivíduos a dispositivos de tecnologia operacional", disse a PRODAFT em um relatório técnico detalhado compartilhado com o The Hacker News.
"Esses alvos tornam a operação 'Paperbug' orientada por inteligência."
O motivo final por trás dos ataques ainda não está claro, mas a empresa de cibersegurança levantou a possibilidade de que possa ser obra de forças de oposição dentro do país ou, alternativamente, uma missão de coleta de inteligência realizada pela Rússia ou China.
Octopus Nômade surgiu pela primeira vez em outubro de 2018, quando a ESET e a Kaspersky detalharam uma série de ataques de phishing montados pelo ator contra vários países da Ásia Central.
O grupo estima-se que esteja ativo desde pelo menos 2014.
As ofensivas cibernéticas envolveram o uso de malware personalizado para Android e Windows para atacar uma mistura de entidades de alto valor, como governos locais, missões diplomáticas e blogueiros políticos, levantando a possibilidade de que o ator de ameaça esteja envolvido em operações de vigilância cibernética.
O malware do Windows, apelidado de Octopus e que se disfarçava como uma versão alternativa do aplicativo de mensagens Telegram, é uma ferramenta baseada em Delphi que permite ao adversário monitorar vítimas, roubar dados sensíveis e obter acesso de backdoor aos seus sistemas por meio de um painel de controle de comando e controle (C2).
Uma análise subsequente da Gcow Security em dezembro de 2019 destacou os ataques do grupo de ameaças persistentes avançadas (APT) contra o Ministério das Relações Exteriores do Uzbequistão para implantar o Octopus.
As descobertas da PRODAFT são resultado da descoberta de um ambiente operacional gerenciado pelo Octopus Nômade desde 2020, tornando o Paperbug a primeira campanha orquestrada pelo grupo desde o Octopus.
De acordo com os dados coletados pela empresa, o ator de ameaças conseguiu acessar a rede de uma empresa de telecomunicações, antes de se mover lateralmente para mais de uma dúzia de alvos focando em redes governamentais, executivos e dispositivos OT com vulnerabilidades conhecidas publicamente.
Como e quando a rede de telecomunicações foi infiltrada é desconhecido.
"A operação Paperbug está alinhada com a tendência comum de atacar a infraestrutura governamental da Ásia Central que se tornou mais proeminente recentemente", observou a PRODAFT.
Acredita-se que o Octopus Nômade exiba algum nível de cooperação com outro ator de estado-nação russo conhecido como Sofacy (também conhecido como APT28, Fancy Bear, Forest Blizzard ou FROZENLAKE), com base em sobreposições de vítimas.
Os últimos ataques envolveram o uso de uma variante do Octopus que vem com recursos para tirar capturas de tela, executar comandos remotamente e baixar e enviar arquivos para e de o host infectado para um servidor remoto.
Um artefato desse tipo foi enviado para o VirusTotal em 1º de abril de 2021.
Uma análise mais detalhada do servidor de comando e controle (C2) revela que o grupo conseguiu backdoor com sucesso um total de 499 sistemas até 27 de janeiro de 2022, alguns dos quais incluem dispositivos de rede governamentais, postos de gasolina e um caixa registradora.
No entanto, o grupo não parece possuir conjuntos avançados de ferramentas ou estar muito preocupado em cobrir seus rastros nas máquinas das vítimas, apesar da natureza de alto risco dos ataques.
"Enquanto operam nas máquinas comprometidas para roubar informações, às vezes eles inadvertidamente causavam pop-ups de permissão nos computadores das vítimas, o que resultou em suspeita por parte das vítimas", apontou a empresa.
"No entanto, isso foi resolvido devido ao grupo diligentemente nomear os arquivos que transferem como programas benignos e inconspícuos."
A mesma tática se estende à nomeação de suas ferramentas maliciosas também, com o grupo as camuflando como navegadores populares da web, como Google Chrome, Mozilla Firefox e Yandex para passar despercebido.
Dito isso, as cadeias de ataque do Paperbug são amplamente caracterizadas pelo uso de ferramentas ofensivas públicas e técnicas genéricas, atuando efetivamente como um "disfarce" para o grupo e tornando a atribuição muito mais desafiadora.
"Essa desproporção entre as habilidades do operador e a importância da missão pode indicar que os operadores foram recrutados por alguma entidade que lhes forneceu uma lista de comandos que precisam ser executados em cada máquina exatamente", disse a PRODAFT, acrescentando "o operador segue uma lista de verificação e é forçado a segui-la".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...