- Investigadores acreditam que o objectivo último do ataque é espionagem
- Atacantes fazem-se passar pelas Nações Unidas ou agem sob disfarce de uma fundação falsa
- Vítimas acreditam estar a candidatar-se para uma subvenção, estando, na verdade, a instalar um backdoor malicioso
A confirmação desta informação foi enviada à nossa redacção pela empresa parceira do Jornal Visão em Portugal, Check Point Research (CPR), que identificou, em colaboração com a Global Research & Analysis Team (GReAT) da Kaspersky, uma corrente de ciberataques que tem como alvo os Uigures, um grupo étnico turco em Xinjiang, China e Paquistão. Os atacantes enviam documentos maliciosos sob disfarce das Nações Unidades (UN) e de uma fundação de direitos humanos falsa, a “Turkic Culture and Heritage Foundation”, incitando os utilizadores a instalar, sem o seu conhecimento, um backdoor do software Windows que permite espiar os computadores.
A Check Point Research e os investigadores da Kapersky identificaram dois vetores de ataquesendo o primeiro por via de Documentos enviados ao e-mail. São enviados por correio electrónico documentos maliciosos cujo objectivo é descarregar para o computador um backdoor para o Windows que permite espiar o dispositivo.
Assim sendo, a segunda máfia dos hackers é a criação de um website da fundação falsa. O website procura convencer os visitantes a fazer download de um backdoor .NET, sob pretexto de um scanner de segurança. Depois, é pedido ao utilizador para fornecer as informações pessoais necessárias à concretização de um suposto pedido de subvenção (fig. 1).
A investigação começou com a descoberta de um documento malicioso chamado “UgyhurApplicationList.docx” (fig. 2). Continha o logotipo do Conselho de Direitos Humanos das Nações Unidas (UNHRC) e conteúdo falso de uma assembleia geral das Nações Unidas sobre as violações dos direitos humanos.
A análise do documento levou os investigadores à descoberta de um website relacionado com uma fundação falsa que procura ludibriar os Uigures que querem candidatar-se a uma subvenção. A TCAHF, sigla para “Turkic Culture and Heritage Foundation”, é uma suposta organização privada que financia e apoia grupos que trabalham em prol da cultura Tukric e dos direitos humanos. Na verdade, esta fundação é totalmente inventada e a maior parte do conteúdo do website é copiado do “opensocietyfoundation.org”, uma organização, de facto, legítima (fig. 3).
Os investigadores consideram que esta é uma campanha que visa atacar a minoria Uigur ou as organizações que a apoiam. De acordo com dados da CPR e da Kapersky, foram identificadas apenas vítimas no Paquistão e na China. Em ambos os casos, as vítimas estavam localizadas em regiões predominantemente habitadas por este grupo étnico em específico.
“O que vemos aqui são ciberatacantes a visar a comunidade Uigur. Estes ataques utilizam claramente a temática do Conselho de Direitos Humanos das Nações Humanas para enganar os utilizadores-alvo, incitando-os ao download de um malware,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Acreditamos que tenham como principal motivação a espionagem, sendo o golpe final a instalação de um backdoor nos computadores das personalidades de destaque da comunidade Uigur. A nossa investigação concluiu que os ataques são delineados para dispositivos infetados por impressão digital, incluindo todos os seus programas em execução. Do que sabemos até agora, os ataques estão a decorrer e está a ser criada uma nova infraestrutura para futuras oportunidades.”
Apesar de não terem encontrado semelhanças de código ou de infraestrutura com algum grupo de cibercriminosos já identificado, os investigadores atribuem esta atividade, com baixa a média confiança, a um agente malicioso de língua chinesa. Ao examinar o documento que iniciou a investigação, descobriram-se excertos de código semelhantes ao código VBA que aparece em múltiplos fóruns chineses, suspeitando-se que possa ter sido copiado diretamente.
Descubra mais sobre Jornal Visão Moçambique
Assine para receber nossas notícias mais recentes por e-mail.
Facebook Comments