Você está visualizando atualmente Atacando Setores do Governo, Defesa e Aeroespacial da Índia, Grupo de Ameaças Cibernéticas Agora Ataca Linux Além de Windows em sua Busca por Comprometer os Sistemas MayaOS Linux Domésticos do Exército Indiano.

Atacando Setores do Governo, Defesa e Aeroespacial da Índia, Grupo de Ameaças Cibernéticas Agora Ataca Linux Além de Windows em sua Busca por Comprometer os Sistemas MayaOS Linux Domésticos do Exército Indiano.

Um grupo de cibereespaionage ligado ao Paquistão mudou para uma variedade mais ampla de técnicas de software legítimas na tentativa de contornar as defesas de cibersegurança, incluindo direcionar não apenas o Windows, mas também o Linux e incorporar em seus ataques serviços de nuvem legítimos, como Google Drive e Telegram.

O grupo, apelidado de Tribo Transparente, historicamente tem como alvo agências governamentais e empresas de defesa na Índia com ciberataques que tentam comprometer sistemas Windows e dispositivos Android. Em sua campanha mais recente, no entanto, o grupo tem preferido sistemas Linux em vez de computadores Windows, com 65% dos ataques usando binários Executáveis e Linkáveis de Linux (ELF) visando a distribuição MayaOS, desenvolvida na Índia.

As campanhas mais recentes não representam uma mudança no direcionamento, uma vez que o grupo no passado foi focado em comprometer o governo, o setor militar e a indústria privada da Índia, diz Ismael Valenzuela, vice-presidente de inteligência de ameaças e pesquisa da empresa de cibersegurança BlackBerry.

“Ao longo dos anos, o grupo também tem alvejado outras nações e regiões além da Índia – nomeadamente os EUA, a Europa e a Austrália – no entanto, seu principal alvo parece continuar sendo a Índia”, afirma. “O grupo tem utilizado fortemente iscas associadas para mirar o governo indiano ou seus vários órgãos governamentais da nação.”

A região da Ásia do Sul apresenta um cenário ativo de ameaças cibernéticas. O grupo Sidewinder, ligado à Índia, já mirou o Paquistão no passado, mas também Turquia e China, enquanto o grupo Patchwork atacou paquistaneses por meio da inserção de aplicativos Android maliciosos na Google Play Store. Já o grupo Evasive Panda, ligado à China, focou em tibetanos na Índia e nos Estados Unidos, e outro grupo, denominado ToddyCat, atacou grupos no Vietnã e em Taiwan.

A Tribo Transparente, também conhecida como APT36 e Earth Karkaddan, já utilizou anteriormente golpes românticos para distribuir o malware Android CapraRAT contra funcionários do governo indiano, com informações sobre a região de Caxemira. Enquanto isso, o Paquistão tem se esforçado para melhorar sua postura de cibersegurança, direcionando US$18 milhões para pesquisa em cibersegurança e adicionando US$36 milhões ao seu orçamento para desenvolver melhores capacidades técnicas de cibersegurança.

No geral, a Tribo Transparente não é considerada muito sofisticada, mas tem tido sucesso ao misturar suas táticas. Os ataques mais recentes incluem várias linguagens de programação de plataforma cruzada, abuso de serviços legítimos, uma variedade de payloads e vetores de infecção, e o uso de novos mecanismos de entrega, segundo Valenzuela.

O uso de linguagens de programação de plataforma cruzada pela Tribo Transparente — incluindo Python, Golang e Rust — permite a criação de programas tanto para Windows quanto para Linux, uma capacidade importante uma vez que o sistema MayaOS Linux é amplamente utilizado pelo militar indiano. O último ataque utiliza binários ELF para distribuir um downloader baseado em Python, que leva a um utilitário de exfiltração baseado em Linux, como afirmou a BlackBerry em sua análise.

“Esses binários ELF tiveram poucas detecções no VirusTotal provavelmente devido à sua natureza leve e dependência do Python”, afirma a análise.

A Tribo Transparente tem explorado comprometimentos em sistemas Linux há pelo menos um ano, de acordo com outras empresas de segurança. Em certas situações, o grupo aparentemente mira sistemas Linux usando um “arquivo de entrada de desktop” que parece ser um documento do Microsoft Office, conforme afirmou a Zscaler em uma análise de setembro de 2023. Arquivos de entrada de desktop oferecem informações e comandos que sistemas desktop Linux usam para tomar ações após o usuário selecionar um item de menu.

“A utilização de arquivos de entrada de desktop Linux pela APT36 como vetor de ataque nunca foi documentada antes”, afirma a Zscaler na análise de 2023. “Este vetor de ataque é bastante novo e parece estar sendo utilizado em ataques de baixo volume. Até agora, nossa equipe de pesquisa descobriu três amostras — todas as quais não têm detecção no VirusTotal.”

Amostras anteriores incluíram malware Android, mas a BlackBerry não viu nenhum sinal de alvos Android nas campanhas mais recentes.