Um grupo de ameaças alinhado ao estado chinês vem exfiltrando e-mails e arquivos de alvos governamentais e militares de alto nível em todo o Oriente Médio, África e Sudeste Asiático diariamente desde o final de 2022.
A Operação Espectro Diplomático, uma campanha ousada de espionagem descrita em um novo relatório da Unidade 42 da Palo Alto Networks, tem como alvo ministérios de relações exteriores, entidades militares, embaixadas e mais, em pelo menos sete países em três continentes. Seu objetivo é obter informações classificadas e sensíveis sobre conflitos geopolíticos, missões diplomáticas e econômicas, operações militares, reuniões políticas e cúpulas, políticos e militares de alto escalão, e, acima de tudo, embaixadas e ministérios de relações exteriores.
A campanha está em andamento, e os atacantes já demonstraram disposição para continuar espionando, mesmo após serem expostos e removidos das redes comprometidas.
As ferramentas do Espectro Diplomático são variadas e incluem ataques a servidores Web e servidores Microsoft Exchange. Os atacantes exploram esses ativos expostos à internet usando vulnerabilidades críticas de três anos atrás – ProxyLogon e ProxyShell – e implantes VBScript em memória.
Com acesso inicial em mãos, o grupo fez uso de um total de 16 ferramentas maliciosas. Algumas são programas comuns de código aberto, como a ferramenta de varredura nbtscan JuicyPotatoNG, uma ferramenta de escalonamento de privilégios para Windows, e Mimikatz para roubo de credenciais. Outras são mais singulares, como Yasso, uma ferramenta chinesa de teste de penetração relativamente nova e poderosa que os atacantes podem usar para força bruta, varredura, shell interativa, execução de comandos arbitrários e muito mais. Nunca antes se havia registrado atores de ameaça usando Yasso na natureza.
O Espectro Diplomático também faz uso de algumas famílias de malware chinesas notórias como PlugX e China Chopper. Mais notavelmente, ele usa Gh0st RAT, tanto para consolidar sua presença nos sistemas-alvo quanto como inspiração para backdoors personalizados do Espectro Diplomático.
O objetivo de tudo isso é alcançar a caixa de entrada de e-mail de um alvo de alto valor, a partir da qual o Espectro Diplomático começará a exfiltrar silenciosamente e-mails e arquivos sensíveis. Às vezes, o grupo exfiltra toda a caixa de entrada de um alvo. Outras vezes é mais específico, usando pesquisas por palavras-chave para filtrar assuntos de interesse para a República Popular da China – dados militares, informações de telecomunicações e energia, material relacionado a Xi Jinping, Joe Biden e outros líderes políticos, e assim por diante.
A defesa contra o Espectro Diplomático começa com o bloqueio de seus meios de acesso inicial, por meio de atualizações e fortalecimento de ativos expostos à internet. Afinal, suas vítimas muito importantes parecem ter sucumbido a vulnerabilidades conhecidas pelo público há bastante tempo antes que ocorressem os ataques.
Depois disso, diz Assaf Dahan, diretor de pesquisa de ameaças do Cortex na Palo Alto Networks, trata-se de uma defesa em camadas.
“Vemos organizações de todo o mundo que não praticam boa higiene cibernética, e elas deixam enormes brechas para os hackers entrarem”, diz ele. “Você precisa de todas as camadas de segurança que puder obter: bom monitoramento de rede, detecção e resposta, soluções de e-mail na nuvem.
“Depois de ter colocado cercas suficientes, realmente torna mais difícil para os maus atores entrarem em sua rede.”