Um grupo de espionagem cibernética chinês está vinculado a uma série de atividades de intrusão que visam instituições governamentais israelenses, provedores de TI e empresas de telecomunicações, pelo menos desde 2019, com os hackers se disfarçando de atores iranianos para enganar as análises forenses.
O braço de inteligência de ameaças Mandiant da FireEye atribuiu a campanha a um operador que rastreia como "UNC215", uma operação de espionagem chinesa que se acredita ter destacado organizações em todo o mundo desde 2014, ligando o grupo com "baixa confiança" a um avançado ameaça persistente (APT) amplamente conhecida como APT27 , Emissary Panda ou Iron Tiger.
"UNC215 comprometeu organizações nos setores de governo, tecnologia, telecomunicações, defesa, finanças, entretenimento e saúde", disseram as equipes de inteligência de ameaças de Israel e dos Estados Unidos da FireEye em um relatório publicado hoje.
"O grupo visa dados e organizações de grande interesse para os objetivos financeiros, diplomáticos e estratégicos de Pequim", as descobertas refletem um apetite implacável por segredos relacionados à defesa entre os grupos de hackers.
Diz-se que os primeiros ataques perpetrados pelo coletivo exploraram uma vulnerabilidade do Microsoft SharePoint (CVE-2019-0604) como um trampolim para se infiltrar em redes governamentais e acadêmicas para implantar shells da web e cargas úteis FOCUSFJORD em alvos no Oriente Médio e na Ásia Central. Descrito pela primeira vez pelo NCC Group em 2018, FOCUSFJORD, também chamado de HyperSSL e Sysupdate, é uma porta dos fundos que faz parte de um arsenal de ferramentas usadas pelo ator Emissary Panda.
Ao ganhar uma posição inicial, o adversário segue um padrão estabelecido de realização de coleta de credenciais e reconhecimento interno para identificar sistemas-chave dentro da rede alvo, antes de realizar atividades de movimento lateral para instalar um implante personalizado chamado HyperBro que vem com recursos como captura de tela e keylogging.
Cada fase do ataque é marcada por esforços notáveis realizados para impedir a detecção, removendo quaisquer vestígios de artefatos forenses residuais das máquinas comprometidas, ao mesmo tempo melhorando a porta dos fundos FOCUSFJORD em resposta aos relatórios do fornecedor de segurança, ocultando a infraestrutura de comando e controle (C2) por usar outras redes de vítimas para fazer proxy de suas instruções C2 e até mesmo incorporar sinalizadores falsos em uma tentativa de enganar a atribuição.
Para esse efeito, o grupo implantou um shell da web personalizado chamado SEASHARPEE que está associado a grupos APT iranianos em pelo menos três ocasiões, e até usou caminhos de arquivo contendo referências ao Irã e exibiu mensagens de erro em árabe que provavelmente ofuscaram a origem da atividade.
Além do mais, em uma operação de 2019 contra uma rede do governo israelense, o UNC215 obteve acesso ao alvo principal por meio de conexões de protocolo de desktop remoto (RDP) de um terceiro confiável usando credenciais roubadas, abusando dele para implantar e executar remotamente o malware FOCUSFJORD, o empresa de segurança cibernética observada.
"A atividade [...] demonstra o interesse estratégico consistente da China no Oriente Médio", concluíram os pesquisadores. "Esta atividade de espionagem cibernética está acontecendo em um cenário de investimentos multibilionários da China relacionados à Belt and Road Initiative ( BRI ) e seu interesse no robusto setor de tecnologia de Israel."
"A China conduziu inúmeras campanhas de intrusão ao longo da rota do BRI para monitorar possíveis obstruções - políticas, econômicas e de segurança - e prevemos que o UNC215 continuará tendo como alvo os governos e organizações envolvidas nesses projetos de infraestrutura crítica em Israel e no Oriente Médio mais amplo nas proximidades - e médio prazo ", acrescentaram as equipes.