Um grupo de ameaças alinhado com o estado chinês tem estado a extrair emails e ficheiros de alto nível de governos e alvos militares no Médio Oriente, África e Sudeste Asiático diariamente desde o final de 2022.
A Operação Espectro Diplomático, uma campanha de espionagem descrita num novo relatório da Unidade 42 da Palo Alto Networks, tem como alvo ministérios de assuntos estrangeiros, entidades militares, embaixadas e mais, em pelo menos sete países em três continentes. Seu objetivo é obter informações classificadas e sensíveis sobre conflitos geopolíticos, missões diplomáticas e econômicas, operações militares, reuniões políticas e cúpulas, políticos e militares de alto escalão, e, acima de tudo, embaixadas e ministérios de assuntos estrangeiros.
A campanha está em curso, e os atacantes já demonstraram disposição para continuar espionando, mesmo depois de serem expostos e expulsos de redes comprometidas.
Os ataques do Espectro Diplomático começam por visar servidores Web e servidores Microsoft Exchange. Os atacantes exploram esses ativos expostos à Internet usando duas vulnerabilidades críticas, o ProxyLogon e o ProxyShell, além de implantes em VBScript na memória.
Com o acesso inicial em mãos, o grupo fez uso de um total de 16 ferramentas maliciosas. Algumas são programas comuns de código aberto, como a ferramenta de digitalização nbtscan JuicyPotatoNG, uma ferramenta de escalonamento de privilégios para Windows, e Mimikatz para roubo de credenciais. Algumas são mais singulares, como o Yasso, uma ferramenta de teste de penetração chinesa relativamente nova e poderosa que os atacantes podem usar para forçar brutamente, digitalizar, shell interativo, execução arbitrária de comandos e mais. Nunca antes foram registrados atores de ameaças usando o Yasso em ambiente real.
O Espectro Diplomático também faz uso de algumas famílias de malware chinesas notórias como o PlugX e o China Chopper. Mais notavelmente, ele usa o Gh0st RAT, tanto como meio de consolidar sua posição em sistemas alvo como inspiração para backdoors personalizados do Espectro Diplomático.
Para isso, há o SweetSpecter, uma nova variante do Gh0st RAT reaparecido de 2023, projetado principalmente para comunicações eficazes de comando e controle (C2). Em seguida, há o TunnelSpecter, que, além de túneis C2, identifica máquinas vítimas e permite a execução arbitrária de comandos. TunnelSpecter tem o nome de usuário SUPPORT_388945c0 codificado, uma tentativa aberta de imitar a conta padrão SUPPORT_388945a0 associada ao recurso de Assistência Remota do Windows.
O objetivo de tudo isso é atingir a caixa de entrada de e-mail de um alvo de alto valor, a partir da qual o Espectro Diplomático começará silenciosamente a extrair e-mails e ficheiros sensíveis. Às vezes, o grupo extrai a caixa de entrada completa de uma vítima. Outras vezes é mais específico, usando pesquisas por palavras-chave para filtrar assuntos de interesse para a República Popular da China – dados militares, informações de telecomunicações e energia, material relacionado com Xi Jinping, Joe Biden, e outros líderes políticos, e assim por diante.
A defesa contra o Espectro Diplomático começa por bloquear seus meios de acesso inicial, aplicando patches e fortalecendo os ativos expostos à Internet. Afinal, suas vítimas muito importantes parecem ter sucumbido a vulnerabilidades conhecidas pelo público há algum tempo antes que ocorressem os ataques.
Depois disso, diz Assaf Dahan, diretor de pesquisa de ameaças do Cortex na Palo Alto Networks, tudo se resume à defesa em profundidade.
“Vemos organizações de todo o mundo que não praticam uma boa higiene cibernética e deixam grandes brechas para os hackers entrarem”, diz ele. “Você precisa de todas as camadas de segurança que puder obter: bom monitoramento de rede, detecção e resposta, soluções de e-mail na nuvem.
“Depois de colocar cercas suficientes, você está realmente tornando mais difícil para os atores maliciosos entrarem em sua rede”.
