Os APTs (acrónimo para Advanced Persistent Threat, que numa tradução livre do inglês “significa Ameaça Persistente Avançada”) movem-se e evoluem quase livremente no espaço vazio entre a incompreensão do Legislador sobre as miudezas técnicas de um problema muito complexo, a lentidão e “tempo lento” da Justiça para reagir a novas ameaças e agentes e a necessidade de medidas legislativas e executivas que possam mitigar a ameaça existencial (ver ataques a escolas e hospitais) que o Ransomware representa para nós de forma coletiva e enquanto sociedade organizada.
Precisamos de mais rapidez, mais atenção e de estruturas de resposta e reacção mais flexíveis e informadas capazes de responderem ao elevado grau de ameaça que a atual epidemia de Ransomware representa e precisamos também que Portugal mude a sua atitude para com os estados estrangeiros que utilizam APTs, de forma directa através dos seus serviços de informações ou exército, para agirem dentro das nossas fronteiras. No tempo novo em que vivemos destruir a rede de uma grande empresa portuguesa de serviços de transporte, de energia ou de um hospital deve ser considerado com o mesmo grau de gravidade que, há um par de décadas, significava enviar uma esquadrilha de bombardeiros para destruir uma ponte, bombardear uma central eléctrica de um hospital. Todos os países que permitem que APTs controlados diretamente por si ou que tenham conhecimento de APTs que funcionam de forma impune dentro das suas fronteiras e cujos agentes estão perfeitamente identificados devem agir e parar com essas acções hostis ou enfrentarem consequências sejam elas na forma de sanções económicas, medidas diplomáticas ou pela realização de acções de ciberdefesa ativa e reativas na mesma proporção.
Todos os anos temos tido um número e gravidade recorde de ataques de ransomware, num fenómeno que ocorre desde 2017. E nesta realidade destacam-se os “Estados-nação” os quais, embora não estejam particularmente interessados (com excepção da Coreia do Norte) na componente financeira, pelo menos não tanto como estão na parte da captura e exfiltração de dados, são uma parte importante deste problema do ransonware.
E quando falamos de “Estados-nação” com APTs activos no nosso território e no território dos países da União Europeia falamos de que países?
Irão:
Embora não sejam tão mediáticos como os APTs baseados na China e na Rússia, os APTs iranianos têm estado muito activos. Embora não sejam os que estão activos há mais tempo nem os mais agressivos e tenham alvos muito específicos que estão – por regra – fora do espaço europeu estão a construir uma rede de capacidades muito interessante nos campos da engenharia social, conhecimentos e destruição de dados.
Os APTs iranianos têm estado activos na Arábia Saudita (o seu eterno rival geopolítico) e contra dissidentes no regime no estrangeiro não somente na Arábia Saudita mas também nos EAU, Líbano e Bahrein. Estão também focados em Israel mas este parece ser um alvo secundário não só pelas cibercapacidades desta nação mas devido ao carácter mais defensivo das operações iranianas. No último ano houve uma série de ataque que escapam a este padrão e que visam entidades nos EUA e na Europa ocidental. Isto é preocupante porque torna plausíveis as negações de responsabilidade por parte de Teerão por outro lado porque é o tipo de capacidades que servem ao Irão como resposta potencial às sanções de que o Irão é alvo.
Um dos actores iranianos mais activos é o APT24 conhecido também como “Imperial Kitten” (um personagem da “Alice in Wonderland ” de Lewis Carroll que usando um perfil de facebook atacou um fornecedor norte-americano de Defesa. A campanha recorria a ficheiros de Office com macros para instalar um trojan na rede do alvo. Este é o método principal desta organização e de outras organizações iranianas desde, pelo menos, 2017, quando usaram não o facebook mas o WhatsApp e o LinkedIn para atingirem os seus alvos.
Outro actor iraniano é o “Charming Kitten” (sim: os iranianos parecem gostar de gatinhos) que em maio de 2021 veio à superfície num ataque a vários académicos e organizações governamentais.
Outro APT que é geralmente associado ao Irão é o APT39. Embora tenha um alcance global, este APT parece focado no Médio Oriente no sector das telecomunicações, agências de viagens e empresas de TI nestes países. Este foco muito específico indica que a sua missão primária é a de vigilância e recolha de informações. O grupo usa o malware SEAWEED e CACHEMONKEY assim como uma variante do POWBAT. Para a entrada nas redes o APT39 usa mensagens de mail com anexos e URLs para o POWBAT. Uma vez que obtenha o controlo de uma mailbox o grupo usa-a para chegar a outras caixas de correio na mesma organização. O APT39 controla vários domains DNS com nomes semelhantes às organizações que ataca e é também conhecido por explorar vulnerabilidades em webservers para instalar web shells como a ANTAK e a ASPXSPY.
Os APTs iranianos parecem empenhados em desenvolver novas técnicas que lhes permitam escapar à detecção, destacando-se o esforço para agirem sob o chapéu de domains DNS legítimos directamente ou através de referências cruzadas.
Registe-se também a proximidade política do regime de Teerão com a China e a Rússia e a possibilidade – cada vez maior – de que desenvolvam ferramentas e técnicas em conjunto.
Rússia:
A Rússia continua a ser a maior ciberameaça global, uma característica que a atual invasão da Ucrânia apenas veio reforçar. Embora o país sirva de porto de abrigo para muitos grupos criminosos com interesses apenas de ordem financeira, pelo menos dois APTs, o APT28 e o APT29 estão ligados – de alguma forma – ao governo de Moscovo.
O APT29 (ou “Cozy Bear”), em particular, depois de ter passado um período de relativa inactividade parece estar de volta. Este APT mantem a estrutura de command-and-control ativa e parece usar ainda o mesmo tipo de malware a que recorreu quando tentou invadir as redes das empresas que investigavam vacinas contra a Covid em 2020. Como método preferem atacar a partir de IPs a partir da Europa e dos EUA por forma a mascararem a sua origem no território da Federação Russa. Outro actor é conhecido por “Nobelium” (que esteve activo, por exemplo, no ataque SolarWinds) mas este agente, em particular, parece preferir técnicas sociais que passam pela exploração da rede social LinkedIn como vector para usando uma vulnerabilidade conhecida em iOS instalar “Cobalt Strike” nas suas vítimas divergindo, assim do APT28 e do APT29.
De todos estes APTs o que parece mais activo nos últimos tempos é o APT28 ou “Fancy Bear” que usou recentemente um cluster de Kubernetes para executar os seus ataques onde recolheu credenciais, acedeu a mails e a outra informação sensível exfiltrando-a através do Outlook em pequenos blocos para evitar a detecção. Este grupo está agora activo nas redes da Ucrânia e foi aqui observado utilizando uma variante de um malware feito em .Net distribuído por mail como anexo (ua_report.zip). Este malware foi desenhado para furtar passwords do Chrome, Edge e Firefox.
Em Abril de 2022 o grupo hacktivista “BlueHornet” revelou que este grupo estaria ligado aos serviços de inteligência russos e seria coordenado por Dmitriy Sergeyevich Badin expondo dados pessoais sobre o mesmo e os seus familiares directos.
Desde a invasão da Ucrânia outro APT ligado ao governo russo, o APT Turla (também conhecido como Venomous Bear, Group 88, Waterbug, WRAITH, Turla Team, Uroburos, Pfinet, TAG_0530, KRYPTON, Hippo Team, Pacifier APT, Popeye, SIG23, Iron Hunter, MAKERSMARK, ATK13, G0010) tem estado activo contra organizações de Defesa e de cibersegurança nos países bálticos. Em 2014, um artigo do The Guardian descreve este grupo como estando focado nas embaixadas na Bélgica, Ucrânia, China, Jordânia, Grécia, Casaquistão, Armênia, Polónia e Alemanha as quais foram, efectivamente, atacadas por este APT. Em maio de 2012, ainda segundo o jornal britânico, o escritório do primeiro-ministro de um ex-país da União Soviética (talvez o Casaquistão) foi infectado, levando a que mais 60 computadores dessa rede fossem afetados. Mais tarde o grupo atacou o Ministério da Saúde de um país da Europa Ocidental, o Ministério da Educação de um país da América Central, um fornecedor estatal de eletricidade no Médio Oriente e uma organização médica desconhecida nos EUA (segundo a Symantec). Terá sido também o Turla quem em 2008 atacou o Comando Central dos EUA. O grupo está claramente ligado ao exército russo e foram localizados procurando informações com palavras chave como “energia nuclear”, “NATO”, “UE” com palavras russas e com cirílico (segundo a Symantec).
Outro APT ligado ao regime de Moscovo é o Coldriver (ou “Callisto”). Este grupo utilia contas Gmail para enviar mails de phishing a instituições governamentais, ONGs, thinks thanks de defesa, organizações de defesa e jornalistas. Mais recentemente o Coldriver foi observado usando links para PDFs e DOCs no Google Drive e no Microsoft Onedrive encontrando-se nestes ficheiros um link para domains controlados pelo APT. Os domains conhecidos estão actualmente bloqueados pelo Google Safe Browsing pelo que o grupo está dormente e, provavelmente, a desenvolver novas tácticas de ataque.
Bielo-Rússia:
O “Ghostwriter” parece ser o APT do regime de Lukashenko mais activo pelo menos desde que começou a guerra na Ucrânia com operações tendo contas gmail como alvo. Nesta campanha o APT visou contas individuais de personalidades ucranianas enviando mensagens com links para sites comprometidos onde estava alojada a página de captura de credenciais. Acredita-se que nenhuma conta foi comprometida devido à iniciativa da Google em barrar os sites aqui utilizados. Em meados de abril, o APT mudou de táctica visando desta feita contas Facebook de utilizadores (principalmente) na Lituânia. Aqui, de novo, foram enviadas mensagens com links para domínios controlados que alojavam páginas de captura de credenciais.
China:
Talvez a ameaça maior, mais persistente e perigosa seja a colocada pelos APTs do regime de Pequim ou que operam livremente sob a sua protecção dentro do seu território. Estes APTs continuam muito focados na exfiltração de dados de espionagem convencional e industrial, mas sabe-se que usam também ransomware para mascarar as suas operações, identidades e afiliação.
Nos últimos meses os APTs ligados ao governo chinês estiveram particularmente activos em campanhas no sudeste asiático em apoio às pretensões chineses sobre o Mar do Sul da China. Nesta campanha os APTs chineses usaram uma combinação de discos USB com updates Zoom para se propagar por hardware nestes países. Há também indícios de que uma campanha recente contra Israel possa ter este país como responsável ou mais concretamente o APT UNC215. Outro grupo, o APT27 ou “Emissary anda” mascarou-se por detrás do uso de ransomware e criptomineração mas de facto, é um agente estatal.
O APT1 é geralmente associado ao exército chinês (à “PLA Unit 61398” estacionada em Pudong, Shanghai) e é também conhecido como “Comment Crew”, “Comment Panda”, “GIF89a”, e “Byzantine Candor”. Esta unidade foi em 2014 alvo de processo do departamento de Justiça dos EUA onde foram acusados seis oficiais desta unidade do exército de Pequim por “furto de informação confidencial e de propriedade intelectual”. Acredita-se que este APT (descoberto em 2011 mas activo desde, pelo menos, 2002) atacou várias centenas de alvos nos EUA, Canadá, ONU, Coreia do Sul, Taiwan e Vietnam.
Outros APTs ligados ao regime chinês são o “Gothic Panda” e o “Kryptonite Panda” que em abril de 2022 viram o grupo “BlueHornet” ou APT49 (um grupo hacktivista) expor dados sobre as suas identidades (perfis nas redes sociais, nomes de famílias e contas bancárias) expostos na Internet.
Um grupo associado ao Exército Popular de Libertação conhecido como “Curious George” parece estar a dar atenção a instituições governamentais russas e fabricantes ligados à indústria de defesa e de logística russa pelo menos desde que começou a invasão da Ucrânia. O grupo também foi observado na Ucrânia e nos países da Ásia Central que fizeram parte da União Soviética.