Atores de ameaças vinculados à Rússia foram responsáveis por uma campanha de espionagem cibernética em andamento, visando o Cazaquistão como parte dos esforços do Kremlin para coletar inteligência econômica e política na Ásia Central.
A campanha foi avaliada como sendo obra de um conjunto de intrusões denominado UAC-0063, que provavelmente compartilha sobreposições com o APT28, um grupo de estado-nação afiliado à Diretoria Principal de Inteligência do Estado-Maior Geral da Rússia (GRU).
Ele também é conhecido como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.
O UAC-0063 foi documentado pela primeira vez pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) no início de 2023, detalhando seus ataques a entidades governamentais usando famílias de malware rastreadas como HATVIBE, CHERRYSPY e STILLARCH (também conhecido como DownEx).
Vale ressaltar que o uso dessas cepas de malware tem sido exclusivo deste grupo.
Campanhas subsequentes foram observadas visando organizações na Ásia Central, Ásia Oriental e Europa, de acordo com o Insikt Group da Recorded Future, que atribuiu ao cluster de atividades o nome TAG-110.
"O alvo do UAC-0063 sugere um foco na coleta de inteligência em setores como governo, incluindo diplomacia, ONGs, academia, energia e defesa, com um foco geográfico na Ucrânia, Ásia Central e Europa Oriental," disse a empresa francesa de cibersegurança Sekoia em uma nova análise.
O último conjunto de ataques envolve o uso de documentos legítimos do Microsoft Office originados do Ministério das Relações Exteriores da República do Cazaquistão como iscas de spear-phishing para ativar uma cadeia de infecção multi-estágio apelidada de Double-Tap que solta o malware HATVIBE.
Atualmente, não se sabe como esses documentos foram obtidos, embora seja possível que tenham sido exfiltrados em uma campanha anterior.
Especificamente, os documentos são inseridos com uma macro maliciosa que, quando executada pelas vítimas, é projetada para criar um segundo documento em branco na localização "C:\Users\[USUÁRIO]\AppData\Local\Temp\".
"Este segundo documento é automaticamente aberto em uma instância oculta do Word pela macro inicial, para soltar e executar um arquivo HTA (HTML Application) malicioso incorporando um backdoor VBS [Visual Basic Script] apelidado de 'HATVIBE,'" disseram os pesquisadores da Sekoia.
HATVIBE opera como um loader, recebendo módulos VBS de próxima fase para execução a partir de um servidor remoto, o que finalmente abre caminho para um backdoor Python sofisticado chamado CHERRYSPY.
O arquivo HTA contendo HATVIBE é projetado para funcionar por quatro minutos, lançando mshta.exe.
"O que torna essa cadeia de infecção Double-Tap bastante única é que ela emprega vários truques para contornar soluções de segurança, como armazenar o código macro malicioso real no arquivo settings.xml e criar uma tarefa agendada sem gerar schtasks.exe para o segundo documento ou usar, para o primeiro documento, um truque anti-emulação destinado a verificar se o tempo de execução não foi alterado, caso contrário, a macro é interrompida," disseram os pesquisadores.
A Sekoia afirmou que a sequência de ataque HATVIBE demonstra alvos e sobreposições técnicas com campanhas relacionadas ao APT28 Zebrocy, permitindo atribuir o cluster UAC-0063 ao grupo de hackers russo com média confiança.
"O tema dos documentos armados de spear-phishing indica uma campanha de espionagem cibernética focada na coleta de inteligência estratégica sobre relações diplomáticas entre os estados da Ásia Central, especialmente sobre as relações exteriores do Cazaquistão, pela inteligência russa," acrescentou a empresa.
Plataforma SORM da Rússia Vendida na Ásia Central e América Latina O desenvolvimento ocorre à medida que a Recorded Future revelou que vários países na Ásia Central e América Latina adquiriram a tecnologia de interceptação telefônica Sistema para Atividades Investigativas Operacionais (SORM) de pelo menos oito fornecedores russos, como Citadel, Norsi-Trans e Protei, permitindo potencialmente que as agências de inteligência russas interceptem comunicações.
O SORM da Rússia é um aparelho de vigilância eletrônica capaz de interceptar uma ampla gama de tráfego de internet e telecomunicações pelas autoridades sem o conhecimento dos próprios provedores de serviços.
Ele permite o monitoramento de comunicações fixas e móveis, bem como tráfego de internet, Wi-Fi e redes sociais, tudo o que pode ser armazenado em um banco de dados pesquisável.
Avalia-se que os antigos territórios soviéticos da Bielorrússia, Cazaquistão, Quirguistão e Uzbequistão, e as nações latino-americanas de Cuba e Nicarágua, muito provavelmente adquiriram a tecnologia para interceptar cidadãos.
"Embora esses sistemas tenham aplicações legítimas de segurança, os governos [...] têm um histórico de uso indevido de capacidades de vigilância, incluindo a repressão de oposição política, jornalistas e ativistas, sem supervisão efetiva ou independente," disse o Insikt Group.
De forma mais ampla, a exportação de tecnologias de vigilância russas provavelmente continuará a oferecer a Moscou oportunidades de expandir sua influência, particularmente em áreas que considera estar sob sua esfera tradicional do "exterior próximo".
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...