Um grupo cibercriminoso conhecido pelos nomes K3chang e APT15, que supostamente possui ligações com o governo da China, buscou espionar missões diplomáticas realizadas pelo Brasil, afirma o laboratório de pesquisa da ESET.
O APT15 utilizava um backdoor conhecido como Okrum, detectado pela primeira vez por empresas de segurança em 2016. Segundo a ESET, o backdoor foi usado para infectar diplomatas durante o ano de 2017. Não foram apenas os brasileiros: o grupo também teve como alvo missões diplomáticas da Eslováquia, Bélgica, Chile e Guatemala.
De acordo com a ESET, “os operadores de malware tentaram ocultar o tráfego malicioso com um servidor C&C no tráfego da rede regular, registrando nomes de domínio aparentemente legítimos. Por exemplo, amostras usadas contra alvos eslovacos foram comunicadas com um nome de domínio que simula um portal de mapas eslovaco (support.slovakmaps [.]com). Eles também usaram um nome de domínio que se traduz como ‘missões de apoio’ em espanhol (misiones.soportesisco[.]com)”.
Como o Okrum buscou infectou máquinas de vítimas ainda não foi descoberto
A ESET explica que o Orkrum se esconde em arquivos PNG (formato normalmente usado para imagens). Quando uma imagem infectada é aberta, o backdoor é acionado. Uma técnica clássica de esteganografia.
O Okrum é equipado apenas com comandos backdoor básicos, como o download e o upload de arquivos, a execução de arquivos e comandos ‘shell’. A maior parte da atividade maliciosa deve ser feita digitando-se comandos shell manualmente ou executando outras ferramentas e softwares. "Detectamos que o Okrum abusa de várias ferramentas externas, como um keylogger, ferramentas para despejar senhas ou enumerar sessões de rede”, diz a ESET. “As técnicas de prevenção de detecção que observamos no malware Okrum incluem a incorporação da carga maliciosa em uma imagem PNG legítima, empregando vários truques antiemulação e antisandbox, além de fazer alterações frequentes na implementação”.
- Detalhes do backdoor e ataques podem ser acompanhados na íntegra pelo relatório linkado
Categorias