Equipa de investigação da empresa de soluções de cibersegurança, Check Point, indica dispor de dados que indicam que a sede da Força Aérea paquistanesa foi vítima de um ciberataque bem-sucedido levado a cabo pelo SideWinder, um grupo APT que se suspeita estar sediado na Índia.
SideWinder: Grupo APT indiano suspeito
O SideWinder é um grupo APT que concentra os seus alvos em organizações públicas do Paquistão e da China. No final de março de 2022, a Check Point publicou uma análise de um documento malicioso disseminado pelo SideWinder que se aproveitava do conflito Rússia-Ucrânia.
Os alvos do ataque eram entidades paquistanesas, e utilizavam um o documento-isco para se fazer passar pelo Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e com o seguinte título: “Impacto do conflito russo na Ucrânia sobre o Paquistão”.
Os ficheiros suspeitos
A Check Point indica que possui evidências que apontam que o grupo Sidewinde é o responsável pelo ataque à Força aérea paquistanesa. As conclusões resultam da análise de ficheiros submetidos na plataforma VirusTotal, um serviço gratuito que permite identificar conteúdo malicioso e vários ficheiros e URLs. Os investigadores da Check Point indicam que encontraram evidências que associavam os ficheiros ao grupo APT SideWinder, conhecido por ter como alvos entidades paquistanesas e que se suspeita de ter sede na Índia.
Um dos ficheiros desencriptados pelos investigadores foi produzido por um malware infostealer utilizado exclusivamente pelo grupo, e continha uma lista de todos os ficheiros relevantes extraídos do computador infetado. A maioria dos ficheiros estava relacionado com a indústria militar, instalações nucleares, ensino superior, história da guerra, entre outros. Alguns dos ficheiros apontavam ainda para documentos do “Chairman Joint Chiefs of Staff Committee”, alegadamente o cargo mais elevado das forças armadas paquistanesas.
A Check Point suspeita que o grupo tenha acedido a um dispositivo infetado, a partir do qual chegou à drive da organização, utilizada amplamente pelas pessoas que a constituem.
As vítimas
A partir dos nomes dos ficheiros e diretórios, foi possível à equipa da Check Point conhecer os nomes de utilizador que pertencem à vítima, incluindo AHQ-STRC3. Isto, para além de outros elementos nos nomes dos ficheiros, parece sugerir que AHQ significa Sede Aérea do Paquistão, que é a sede da Força Aérea do Paquistão. Existem também documentos que mencionam explicitamente o Quartel-General Aéreo nos seus nomes de ficheiro, reforçando a ligação entre o “AHQ” no nome de utilizador à Força Aérea Paquistanesa. As investigações encontraram um nome de utilizador adicional chamado “gnss” que infelizmente não produziu nenhuma pista útil, embora outro palpite possa ser que isto se refere ao “sistema global de navegação por satélite”. Os ficheiros vistos também tinham nomes relacionados com comunicações via satélite, implicando dados em torno disto.
Embora a análise dos ficheiros de malware carregados no Virus Total revele frequentemente a identidade dos alvos da campanha de ataque, é pouco comum expor também provas de que o ataque foi realmente bem-sucedido. Neste caso, a equipa da Check Point viu que um ficheiro log, produzido pelo malware, expôs a identidade das vítimas, incluindo nomes de documentos e sistemas sensíveis.
Isto leva a equipa da Check Point a assumir que a intrusão foi eventualmente detetada e analisada pela vítima ou por analistas de segurança que operam em seu nome.
Dicas de ouro para a proteção contra ataques de phishing
Ainda que não se saiba ao certo a forma de penetração utilizada inicialmente pelos atacantes, a equipa da Check Point relembra 3 dicas de ouro aplicáveis sempre que se está perante uma suspeita de phishing.
- Não responda, clique em links ou abra anexos.
- Comunicar o e-mail à equipa de TI ou de segurança
- Depois de o relatar, eliminar o e-mail suspeito