Pesquisadores da McAfee descobriram campanhas de espionagem cibernética voltadas a empresas de telecomunicações ligadas à tecnologia 5G. A campanha, batizada de Operação Diànxùn, usa domínios de phishing da marca Huawei para atrair trabalhadores de telecomunicações a baixar malware em seus computadores de trabalho.
Os pesquisadores de segurança da McAfee Advanced Threat Research (ATR) de inteligência estratégica Thomas Roccia, Thibault Seret e John Fokker observaram que as táticas, técnicas e procedimentos (TTPs) empregados eram consistentes com os as usadas pelos operadores de ameaças chineses Red Delta e Mustang Panda. Eles afirmam que a campanha de espionagem cibernética visa roubar informações secretas sobre a tecnologia 5G.
“Neste relatório, trouxemos à luz uma recente operação de espionagem supostamente atribuída a um grupo APT chinês. Em relação ao setor visado [telecomunicações], acreditamos que esta campanha foi utilizada para acessar dados sensíveis e espionar empresas ligadas à tecnologia 5G. Além disso, o uso de um site falso da Huawei dá mais pistas sobre os alvos de telecomunicações”, diz o relatório.
Os invasores usaram um site falso de carreiras da Huawei para atrair trabalhadores de telecomunicações. Os hackers personificaram a Huawei ao criar um site de carreira falso convincente da Huawei para atrair as vítimas. “Acreditamos com um nível médio de confiança que os invasores usaram um site de phishing disfarçado de página de carreira da empresa Huawei para atingir pessoas que trabalham no setor de telecomunicações.”
Eles enganaram os funcionários das telecomunicações para que baixassem malware disfarçado de aplicativos Flash. Ao morder a isca, as vítimas foram direcionadas para outro site flash.cn, que lembra o site oficial de download do Flash chinês.
Veja isso
Huawei rebate declaração de conselheiro de Segurança dos EUA
EUA afirmam ter provas de backdoor em equipamentos Huawei
Os pesquisadores observam que os aplicativos flash baixados se conectaram ao domínio dos invasores “hxxp://update.careerhuawei.net”, que imita o portal de carreiras da Huawei, “hxxp://career.huawei.com.” Os pesquisadores de segurança também encontraram outro domínio “hxxp://update.huaweiyuncdn.com” usado na campanha de espionagem cibernética no final de 2020.
“Embora o vetor inicial para a infecção não seja totalmente claro, acreditamos com um nível médio de confiança que as vítimas foram atraídas para um domínio sob controle do operador da ameaça, a partir do qual foram infectadas com malware que o ator da ameaça aproveitou para realizar descobertas adicionais e coleta de dados”, conclui o relatório.
A maioria das empresas de telecomunicações visadas operava nos EUA, Europa e Sudeste Asiático. No entanto, havia um “forte interesse” nas empresas de telecomunicações alemãs, vietnamitas e indianas. Os pesquisadores não conseguiram identificar o vetor inicial empregado para atrair os trabalhadores de telecomunicações para o falso site de carreiras da Huawei. Eles não conseguiram estabelecer também se a Huawei estava envolvida na campanha de espionagem cibernética. No entanto, concluíram que a campanha estava relacionada à proibição de equipamentos chineses no lançamento da tecnologia 5G.
