Hackers Alvo do Governo Chinês Sobre Resposta ao Coronavírus

A empresa de cibersegurança FireEye informou na quarta-feira que hackers ligados ao governo vietnamita estão supostamente visando agências do governo chinês para coletar informações sobre a crise do COVID-19.

De acordo com a FireEye, um grupo de hackers “APT32”, também conhecido como “Ocean Lotus”, acreditado estar operando em nome do governo vietnamita, esteve envolvido em uma campanha de spear-phishing visando membros do Ministério de Gestão de Emergências da China e do governo de Wuhan, epicentro da pandemia de coronavírus.

“Esses ataques indicam que o vírus é uma prioridade de inteligência - todos estão lançando tudo o que têm nisso, e APT32 é o que o Vietnã tem”, disse a FireEye em um post no blog.

Pesquisadores da FireEye acreditam que APT32 realizou campanhas de intrusão contra alvos chineses de pelo menos janeiro a abril de 2020.

A empresa de segurança notou pela primeira vez essa campanha em 6 de janeiro de 2020, quando APT32 enviou um e-mail com um link de rastreamento embutido para o Ministério de Gestão de Emergências da China. O link embutido continha o endereço de e-mail da vítima e um código para relatar aos atores se o e-mail fosse aberto.

A FireEye também descobriu URLs de rastreamento adicionais que revelaram alvos no governo de Wuhan da China e uma conta de e-mail também associada ao Ministério de Gestão de Emergências.

Os domínios nos links embutidos eram os mesmos usados em dezembro como um domínio de comando e controle para uma campanha de phishing METALJACK, provavelmente visando países do Sudeste Asiático.

“APT32 provavelmente usou anexos maliciosos com tema Covid-19 contra alvos de língua chinesa. Embora não tenhamos descoberto toda a cadeia de execução, encontramos um carregador METALJACK exibindo um documento de isca intitulado Covid-19 em língua chinesa enquanto lançava seu payload”, acrescentou o post do blog.

O shellcode realiza uma pesquisa no sistema para coletar o nome do computador e o nome de usuário da vítima e, em seguida, anexa esses valores a uma string de URL. Ele então tenta chamar a URL. Se a chamada for bem-sucedida, o malware carrega o payload METALJACK na memória.

“A crise do COVID-19 representa uma preocupação intensa e existencial para os governos, e o atual clima de desconfiança está amplificando incertezas, incentivando a coleta de inteligência em uma escala que rivaliza com conflitos armados. Governos nacionais, estaduais ou provinciais e locais, bem como organizações não governamentais e organizações internacionais, estão sendo alvos. A pesquisa médica também foi alvo”, disse a FireEye.

“Até que essa crise termine, antecipamos que a espionagem cibernética relacionada continuará a se intensificar globalmente.”

No entanto, na quinta-feira, o ministério das relações exteriores do Vietnã reagiu ao relatório da FireEye sobre o apoio a hackers ligados ao governo para atacar agências chinesas como “sem fundamento”.

“A acusação é infundada”, disse o porta-voz do Ministério das Relações Exteriores, Ngo Toan Thang, a repórteres. “O Vietnã proíbe todos os ciberataques, que devem ser denunciados e tratados rigorosamente pela lei.”

Thang também acrescentou que o Vietnã está pronto para cooperar com parceiros internacionais para combater ciberataques.