FireEye detecta ações de espionagem cibernética alinhadas aos interesses vietnamitas

A espionagem econômica é uma ameaça real para as empresas que almejam expandir as operações para outros países e serve como motivação para atuação de grupos hackers, como o APT32, responsável por operações contra o setor privado no Vietnã, patrocinadas pelo governo local.

Descobertas pelos pesquisadores da FireEye, este acesso não autorizado previa servir como base para aplicação da lei, roubo de propriedade intelectual e, inclusive, medidas anticorrupção que poderiam acabar com a vantagem competitiva das organizações-alvo. Governos e jornalistas também estavam sob a mira do grupo, que continua a ameaçar o ativismo político e a liberdade de expressão no Sudeste Asiático e o setor público em todo o mundo.

Em atuação desde 2014, o APT32 realizava operações segmentadas e consoantes aos interesses do Estado vietnamita por meio de um conjunto integrado de malware, segundo a avaliação da FireEye, a qual ainda aponta a eminência de risco para empresas que têm ou se prepararam para realizar negócios e investimentos no país.

Perfil dos ataques
As intrusões foram identificadas em empresas estrangeiras com interesse nos setores de manufatura, produtos de consumo e hospitalidade no Vietnã, além das organizações nos segmentos de infraestrutura de segurança de rede e infraestrutura de tecnologia periférica e consultorias com relações com investidores estrangeiros.

A primeira ameaça é datada de 2014 e foi contra uma companhia europeia antes de iniciar a construção de uma fábrica no país. Nos anos seguintes, os alvos foram indústrias de tecnologia, de mídia e bancos. Os mais recentes, entre 2016 e 2017, focaram o setor hoteleiro, produtos de consumo e consultorias.

Como se dá o ataque
Os responsáveis pelo APT32 utilizaram-se de diversas técnicas inovadoras, as quais rastreiam, monitoram a distribuição e o estabelecimento de mecanismos de persistência do phishing.

Implanta-se cargas de malware de assinatura, com capacidade de desenvolvimento dos recursos e conjunto personalizado de backdoors. A partir da criação de documentos de atração multilíngues adaptados às vítimas específicas, o APT32 entrega anexos maliciosos por meio de e-mails de phishing. Quando abertos, os arquivos de atração exibiam mensagens de erro falsas na tentativa de enganar os usuários.

Após acessar, o APT32 apaga as entradas regulares de registros de eventos e ofusca as ferramentas da estrutura e ainda cria tarefas agendadas como mecanismos de persistência para os backdoors do sistema infectado.

Conclusão
Desde 2014 são observadas as novas formas de atuação do APT32 para comprometer sistemas de empresas multinacionais que têm interesse em atuar no Vietnã. A partir de uma forma de intrusão inovadora, ofuscação, e até mesmo análise, o APT32 também representa um avanço significativo das atividades mais fortes da espionagem econômica chinesa.

Esta ação indica a relevância da espionagem cibernética para a esfera pública/governamental, além da mudança no diálogo cibernético para se concentrar na espionagem política mundial ao longo último ano.

A atuação do APT32 demonstra quão acessíveis e impactantes alguns recursos ofensivos podem ser quando alinhados a investimento apropriado e flexibilidade para adotar novas ferramentas e técnicas. À medida que mais países utilizam operações cibernéticas eficientes e de baixo-custo, existe a necessidade de conscientização pública sobre essas ameaças e um diálogo renovado sobre intrusões Estado-nação emergentes, que vão além do setor público e alvos de inteligência.