ACheck Point® Software Technologies Ltd., uma fornecedora global líder em soluções de cibersegurança, descobriu um grupo chinês APT, o Naikon, que exerce há cinco anos atividades maliciosas ao realizar operações de ciberespionagem contra vários governos da região Ásia-Pacífico.
O grupo Naikon reconheceu em 2015 a autoria de vários ataques contra organismos governamentais e outras organizações de países situados na região do Mar da China, visando acessar informação política confidencial. No entanto, este grupo parecia ter encerrado sua atividade ainda naquele ano, mas foi somente por aparência. Os pesquisadores da Check Point descobriram que o grupo não só se manteve ativo durante os últimos cinco anos, como também aumentou o número de ações de ciberespionagem durante todo o ano de 2019 e neste primeiro semestre de 2020.
Este grupo de cibercriminosos chineses direciona os seus ataques a entidades governamentais como ministérios de relações exteriores ou ciência e tecnologia dos países da região Ásia-Pacífico, de onde se destacam a Austrália, Indonésia, Filipinas, Vietnã, Tailândia, Mianmar e Brunei. O seu principal objetivo é reunir uma grande quantidade de informação confidencial com fins geopolíticos.
Como o grupo Naikon desenvolve seus ataques?
O modus operandi deste grupo consistia em infiltrar-se num organismo governamental a fim de utilizar os seus contatos e documentos para lançar ataques contra outras entidades, aproveitando-se da confiança e das relações diplomáticas para aumentar a porcentagem de sucesso dos seus ataques. Os especialistas da Check Point começaram a sua investigação ao analisar um e-mail enviado ao governo australiano que incluía um documento anexado infectado. Este arquivo continha um exploit que, ao ser aberto, se infiltrava no computador do usuário e tentava descarregar um novo e sofisticado malware de backdoor chamado “Aria-body”, a partir de servidores web externos utilizados pelo grupo Naikon. Desta forma, este grupo de cibercriminosos obtinha acesso remoto ao equipamento ou à rede infectada sem que nenhuma ferramenta de segurança o detectasse.
A cadeia de infecção passava por três etapas:
- Roubar a identidade de um organismo governamental para enganar a vítima: Naikon começa o seu ataque a partir de um e-mail com um documento que contém informação de interesse para os seus alvos. Estes dados podem ser obtidos de fontes públicas e abertas, porém o grupo procura utilizar informação de outros sistemas.
- Infectar os documentos com malware para infiltrar-se nos sistemas de destino: o grupo de cibercriminosos infecta os documentos com “Aria-body”, um malware de tipo backdoor que lhes oferece acesso às redes dos seus alvos.
- Usar os próprios servidores dos governos para continuar e controlar os ataques: o grupo Naikon aproveita-se das infraestruturas e dos servidores das suas vítimas para lançar novos ataques, o que contribui para evitar a sua detecção. Os especialistas da Check Point descobriram, em um dos casos que analisaram, que o servidor que havia sido utilizado para o ataque pertencia ao departamento de ciência e tecnologia do governo das Filipinas.
“O Naikon tentou atacar um dos nossos clientes fazendo-se passar por um governo estrangeiro e foi nesse momento que o grupo voltou ao nosso radar depois de cinco anos de ausência, e decidimos investigar mais a fundo. Descobrimos que se trata de um grupo chinês APT que utiliza ferramentas muito sofisticadas. Seu objetivo é reunir informação confidencial e espiar os países, e para tal passaram os últimos anos desenvolvendo na obscuridade ciberameaças como o “Aria-body”, um novo malware de tipo backdoor”, explica Lotem Finkelsteen, diretor de Threat Intelligence da Check Point.
“Para evitar serem detectados, utilizavam exploradores atribuídos a outros grupos APT e se aproveitavam dos servidores das suas vítimas como centros de Comando e Controle. A Check Point torna pública esta investigação para alertar a todas as entidades governamentais sobre a necessidade de ressaltar as suas medidas de segurança face a este ou qualquer outro grupo de cibercriminosos”, reforça Finklesteen.
Os especialistas da Check Point recomendam que se deve adotar as melhores ferramentas de segurança para fazer frente a estas novas gerações de ciberameaças que estão cada vez mais sofisticadas. A empresa conta com o SandBlast Agent, que oferece uma prevenção completa de ameaças nos endpoints contra os ataques de dia zero, com um índice de bloqueio de 100%, incluindo para ameaças desconhecidas com zero falsos positivos.
O Check Point SandBlast Agent recebeu a classificação de segurança “AA” no teste Advanced Endpoint Protection (AEP) do NSS Labs 2020, tendo detectado 100% das ameaças de HTTP e e-mail, 100% de malware usando técnicas sofisticadas de evasão e 100% de resistência à evasão.