Ataque à rede do Planalto em 2022 teve origem na China

Da Redação
27/06/2024

Um relatório publicado ontem pela empresa SentinelOne, especializada na segurança de endpoints, afirma que teve origem na China a contaminação da rede da Presidência da República em Brasília, ocorrida em 1 de Novembro de 2022. Analisando intrusões notáveis ​​dos últimos três anos, algumas foram realizadas pelo grupo chinês de ciberespionagem ChamelGang – entre elas a da presidência do Brasil, diz o relatório: “(…) suspeitamos que no final de 2022, o ChamelGang foi responsável por ataques à Presidência do Brasil e o Instituto de Ciências Médicas da Índia (AIIMS) (…)”

Veja isso
Planalto diz que 191 PCs foram afetados em suposto ciberataque
Invasão de rede tira do ar Tribunal Federal Regional de Brasília

Os pesquisadores disseram que ambos os ataques envolveram o ransomware CatB, que atribuíram ao ChamelGang com base em sobreposições técnicas no código do malware com outras ferramentas usadas pelo grupo. O ataque ao Brasil afetou 191 computadores do Poder Executivo. Os pesquisadores também rastrearam um grupo separado de ataques envolvendo ferramentas de criptografia de dados prontas para uso (BestCrypt e BitLocker), que afetaram diversos setores na América do Norte, América do Sul e Europa. Eles não foram capazes de atribuir esses ataques, mas disseram que “existem sobreposições com intrusões anteriores que envolvem artefatos associados a supostos clusters de APT chineses e norte-coreanos”.

A investigação foi feita sobre arquivos enviados do Brasil para as plataformas de detecção de malware. Dali, os engenheiros da SentinelOne tiraram suas conclusões: “Durante uma sessão de usuário, o sistema operacional Windows rastreia as alterações feitas na seção de registro HKEY_CURRENT_USER nos arquivos ntuser.dat.LOG1 e ntuser.dat.LOG2.
HKEY_CURRENT_USER armazena informações de configuração do sistema e software para o usuário conectado no momento. A análise do arquivo ntuser.dat.LOG1 que recuperamos revelou chaves de registro do Windows e valores que apontam para a Presidência do Brasil.
ntuser.dat.LOG1 armazena um caminho para um arquivo Outlook Offline (.ost) de um usuário de e-mail no domínio presidencia.gov[.]br, o domínio de e-mail da Presidência do Brasil.
Observamos também a presença de outra chave de registro apontando para o domínio presidencia.gov[.]br como um artefato relacionado ao AD: CN=Aggregate,CN=Schema,CN=Configuration,DC=presidencia,DC=gov,DC=br
Essa chave de registro é armazenada em HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP, que é um local de armazenamento específico do usuário para ADSI (Active Directory Service Interfaces). Isso nos fez suspeitar que a Presidência havia sido alvo do ransomware CatB da ChamelGang”.

Compartilhar: