Nos últimos anos, vimos crescer bastante as campanhas para roubo de credenciais na rede. Agora, pesquisadores apontam que hackers chineses estão por trás de campanhas de roubo de credenciais em massa por vários anos.
Hackers chineses por trás de campanha em massa de roubo de credenciais
O grupo de atividades de ameaças atribuído pelos pesquisadores é o grupo patrocinado pelo estado chinês chamado RedAlpha. A campanha teria sido destinada a organizações humanitárias, think tank e governamentais globais. “Nesta atividade, a RedAlpha muito provavelmente procurou obter acesso a contas de e-mail e outras comunicações online de indivíduos e organizações visados”, divulgou a Recorded Future em um novo relatório (Via: The Hacker News).
De acordo com o site, esse ator de ameaças menos conhecido, o RedAlpha foi documentado pela primeira vez pelo Citizen Lab em janeiro de 2018 e tem um histórico de realizar operações de espionagem e vigilância cibernética contra a comunidade tibetana, algumas na Índia, para facilitar a coleta de inteligência por meio da implantação do backdoor NjRAT.
Desde então, as atividades maliciosas empreendidas pelo grupo envolveram o armamento de até 350 domínios que falsificam entidades legítimas como a Federação Internacional de Direitos Humanos (FIDH), Anistia Internacional, o Instituto Mercator para Estudos da China (MERICS), Radio Free Asia (RFA ), e o American Institute in Taiwan (AIT), entre outros.
A segmentação consistente do adversário de think tanks e organizações humanitárias nos últimos três anos está alinhada com os interesses estratégicos do governo chinês, acrescentou o relatório.
Os domínios personificados, que também incluem provedores legítimos de e-mail e serviços de armazenamento, como Yahoo!, Google e Microsoft, são usados ??posteriormente para direcionar organizações e indivíduos próximos para facilitar o roubo de credenciais.
Os ataques
As cadeias de ataque começam com e-mails de phishing contendo arquivos PDF que incorporam links maliciosos para redirecionar os usuários para páginas de destino não autorizadas que espelham os portais de login de e-mail das organizações visadas.
Alternativamente, os domínios usados ??na atividade de phishing de credenciais foram encontrados hospedando páginas de login genéricas para provedores de e-mail populares, como o Outlook, além de emular outros softwares de e-mail, como o Zimbra, usados ??por essas organizações específicas.
Além disso, o grupo também personificou páginas de login associadas aos ministérios das Relações Exteriores de Taiwan, Portugal, Brasil e Vietnã, bem como ao Centro Nacional de Informática da Índia (NIC), que gerencia a infraestrutura e serviços de TI para o governo.
O cluster RedAlpha também parece estar conectado a uma empresa chinesa de segurança da informação conhecida como Jiangsu Cimer Information Security Technology Co. Ltd.
Os pesquisadores apontam que “[A segmentação de think tanks, organizações da sociedade civil e entidades governamentais e políticas de Taiwan], juntamente com a identificação de prováveis ??operadores baseados na China, indica um provável nexo estatal chinês com a atividade RedAlpha”.