Ataque atinge rede da Força Aérea Paquistanesa

Um grupo APT (advanced persistent threat) que se suspeita estar sediado na Índia, chamado SideWinder, é o autor de um ataque bem sucedido à rede da Força Aérea Paquistanesa, segundo evidências obtidas pela área de pesquisas (CPR) da Check Point Software. O SideWinder é um grupo que concentra os seus alvos nas organizações públicas do Paquistão e da China, informam os pesquisadores. No final de março deste ano, a CPR publicou uma análise de um documento malicioso disseminado pelo grupo que se aproveitava do conflito entre Rússia e Ucrânia. Os alvos pretendidos do ataque eram entidades paquistanesas. O documento usado como isca fazia com que o grupo se passasse pelo Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e continha o seguinte título: “Impacto do conflito russo na Ucrânia sobre o Paquistão”.

Veja isso
Índia dá seis horas para empresas relatarem incidentes
Grupo ciberespião tem como alvo principal ativistas no Oriente Médio

Agora, a CPR tem evidências que levam a crer que o grupo atacou a Força Aérea paquistanesa. “As conclusões resultam da análise de arquivos submetidos na plataforma VirusTotal, um serviço gratuito que permite identificar conteúdo malicioso e vários arquivos e URLs. A CPR encontrou evidências que associavam os arquivos ao grupo APT SideWinder, conhecido por visar as entidades paquistanesas e suspeito de ter sede na Índia”, comenta Itay Cohen, chefe de pesquisa da Check Point Software.

Um dos arquivos desencriptados pela CPR foi produzido por um malware do tipo InfoStealer utilizado exclusivamente por este grupo, e continha uma lista de todos os arquivos relevantes extraídos do computador infectado. A maioria dos arquivos estava relacionado com a indústria militar, instalações nucleares, ensino superior, história da guerra, entre outros. Alguns deles apontavam ainda para documentos do “Chairman Joint Chiefs of Staff Committee”, alegadamente o cargo mais elevado das forças armadas paquistanesas.

A CPR suspeita que o grupo tenha acessado um dispositivo infectado, a partir do qual chegou ao drive da organização, utilizado amplamente pelas pessoas que lá trabalham.

A partir dos nomes dos arquivos e diretórios, foi possível à CPR conhecer os nomes de usuário que pertencem à vítima, incluindo AHQ-STRC3. Isto, para além de outros elementos nos nomes dos arquivos, parece sugerir que AHQ significa Sede Aérea do Paquistão, que é a sede da Força Aérea do Paquistão. Existem também documentos que mencionam explicitamente o quartel-general aéreo nos seus nomes de arquivo, reforçando a ligação entre o “AHQ” no nome de usuário da Força Aérea Paquistanesa. As investigações encontraram um nome de usuário adicional chamado “gnss” que não produziu nenhuma pista útil, embora outra suspeita possa ser que isto se refere ao “sistema global de navegação por satélite”. Os arquivos vistos também tinham nomes relacionados com comunicações via satélite, implicando dados em torno disto.

Apesar de a análise dos arquivos de malware carregados no VirusTotal revele frequentemente a identidade dos alvos da campanha de ataque, é pouco comum expor também provas de que o ataque foi realmente bem-sucedido. Neste caso, a CPR viu que um arquivo log, produzido pelo malware, expôs a identidade das vítimas, incluindo nomes de documentos e sistemas críticos.

Isto leva a CPR a assumir que a intrusão foi eventualmente detectada e analisada pela vítima ou por analistas de segurança que operam em seu nome.