Os pesquisadores da McAfee descobriram campanhas de espionagem cibernética destinadas a empresas de telecomunicações conectadas à tecnologia 5G. A campanha, batizada de Operação Diànxùn, usa domínios de phishing da marca Huawei para atrair funcionários de telecomunicações a baixar malware em seus computadores de trabalho.
Os pesquisadores de segurança da McAfee Advanced Threat Research (ATR) para inteligência estratégica Thomas Roccia, Thibault Seret e John Fokker observaram que as táticas, técnicas e procedimentos (TTPs) empregados eram consistentes com aqueles usados pelos operadores de ameaças chineses Red Delta e Mustang Panda. Eles afirmam que a campanha de espionagem cibernética visa roubar informações secretas sobre a tecnologia 5G.
“Nesse relatório, trouxemos à luz uma recente operação de espionagem supostamente atribuída a um grupo APT chinês. Relativamente ao sector-alvo [telecomunicações], acreditamos que esta campanha foi utilizada para aceder a dados sensíveis e espiar empresas ligadas à tecnologia 5G. Além disso, o uso de um site falso da Huawei dá mais pistas sobre alvos de telecomunicações ”, diz o relatório.
Os invasores usaram um site falso de carreira da Huawei para atrair trabalhadores de telecomunicações. Os hackers personificaram a Huawei criando um site de carreiras falso convincente da Huawei para atrair vítimas. “Acreditamos com um nível médio de confiança que os invasores usaram um site de phishing disfarçado como uma página de carreira da empresa Huawei para atingir as pessoas que trabalham na indústria de telecomunicações.”
Eles enganaram os trabalhadores de telecomunicações para que baixassem malware disfarçado de aplicativos Flash. Ao morder a isca, as vítimas foram direcionadas para outro site flash.cn, que se assemelha ao site oficial de download do Flash chinês.
Os pesquisadores observam que os aplicativos flash baixados se conectaram ao domínio dos invasores “hxxp: //update.careerhuawei.net”, que imita o portal de carreiras da Huawei, “hxxp: //career.huawei.com.” Os pesquisadores de segurança também encontraram outro domínio “hxxp: //update.huaweiyuncdn.com” usado na campanha de espionagem cibernética no final de 2020.
“Embora o vetor inicial para a infecção não seja totalmente claro, acreditamos com um nível médio de confiança que as vítimas foram atraídas para um domínio sob o controle do operador da ameaça, do qual foram infectadas com malware que o ator da ameaça se aproveitou de fazer descobertas adicionais e coletar dados ”, conclui o relatório.
A maioria das empresas de telecomunicações visadas operava nos EUA, Europa e Sudeste Asiático. No entanto, havia um “forte interesse” nas empresas de telecomunicações alemãs, vietnamitas e indianas. Os pesquisadores não conseguiram identificar o vetor inicial usado para atrair trabalhadores de telecomunicações para o falso site de carreira da Huawei. Eles também não conseguiram estabelecer se a Huawei estava envolvida na campanha de espionagem cibernética. No entanto, eles concluíram que a campanha estava relacionada ao banimento de equipamentos chineses no lançamento da tecnologia 5G.
Fonte: CisoAdvisor