Blue Termite: uma campanha de
ciberespionagem sofisticada dirigida a
organizações japonesas
Lisboa, 3 de Setembro de 2015

A lista de indústrias alvo inclui organizações não-governamentais, indústria pesada,
química, sector financeiro e meios de comunicação, segundo a Kaspersky Lab

Após a infecção bem-sucedida, é implantado no equipamento escolhido um
sofisticado backdoor capaz de roubar passwords, descarregar e executar a carga útil
adicional, recuperar ficheiros, etc.
A equipa de peritos GREAT da Kaspersky Lab descobriu a Blue Termite - uma campanha de
ciberespionagem dirigida a centenas de organizações no Japão durante pelo menos dois anos. Os
ciberatacantes procuravam informação confidencial e utilizavam um exploit zero-day no Flash
Player e um sofisticado backdoor que era personalizado para cada vítima. Esta é a primeira
campanha descoberta pela Kaspersky Lab que se centra de forma exclusiva em alvos japoneses e continua activa.
Em Outubro de 2014, os analistas da Kaspersky Lab encontraram uma amostra de malware nunca
antes vista, que se destacava entre as demais devido à sua complexidade. Uma análise mais
detalhada demonstrou que esta amostra era só uma pequena parte de uma campanha de
ciberespionagem grande e sofisticada.
A lista de alvos inclui organizações não-governamentais, indústria pesada, química, sector
financeiro, meios de comunicação, organizações educativas, do sector da saúde, indústria
alimentar, entre outros.
Diversas técnicas de infecção
Para infectar as suas vítimas, a Blue Termite utiliza várias técnicas. Antes de Julho de 2015, para a
maioria dos ataques era utilizada a técnica de spear-phishing– envio de software malicioso como
ficheiro anexo a mensagens de email com conteúdo atractivo para a vítima. No entanto, em Julho
mudaram de táctica e começaram a difundir malware através de um exploit Flash zero-day (CVE2015-5119, o exploit que foi libertado na sequência do incidente da Hacking Team no início deste
Verão). Os cibercriminosos comprometeram vários websites japoneses e os visitantes desses sites
descarregavam automaticamente um exploit que infectava o equipamento. Esta técnica é
conhecida pelo nome drive-by-download.
A implementação de um exploit zero-day deu lugar a um aumento significativo na taxa de infecção
registada pelos sistemas de detecção da Kaspersky Lab em meados de Julho.
Um dos websites comprometidos, pertencente a um membro do governo japonês, continha um
script malicioso que filtrava os visitantes de acordo com os endereços IP, para centrar-se nos que
entravam a partir do IP de uma organização japonesa concreta. Por outras palavras, só os
utilizadores escolhidos a dedo recebiam a carga maliciosa.
Infecções da Blue Termite em 2014-2015
Malware exclusivo e artefactos lingüísticos
Após a infecção bem-sucedida, é implantado no equipamento um sofisticado backdoor capaz de
roubar passwords, descarregar e executar a carga útil adicional, recuperar ficheiros, etc. Uma das
coisas mais interessantes da Blue Termite é que dá a cada vítima uma amostra de malware único,
criada para ser executada num PC específico. De acordo com os investigadores da Kaspersky Lab,
isto foi feito assim para dificultar a análise do malware e sua detecção.
A pregunta sobre quem estará por detrás deste ataque continua sem resposta. Como é costume, a
atribuição da autoria dos ataques é uma tarefa muito complicada quando se trata de ciberataques
sofisticados. No entanto, os analistas da Kaspersky Lab conseguiram recolher algumas amostras
de linguagem. Em particular, a interface gráfica de utilizador do servidor de comando e controlo,
assim como alguns documentos técnicos relacionados com o malware utilizado na operação, estão
escritos em chinês. Isto pode significar que os autores falam este idioma.
Assim que os analistas da Kaspersky Lab reuniram suficiente informação para confirmar que a Blue
Termite é uma campanha de ciberespionagem dirigida a organizações japonesas, representantes
da empresa informaram as agências policiais locais sobre estas descobertas. Como a operação
ainda está em curso, a investigação da Kaspersky Lab também prossegue.
"Embora a Blue Termite não seja a primeira campanha de ciberespionagem que ataca a Japão, é
na verdade a primeira campanha conhecida pela Kaspersky Lab que se centra estritamente em
alvos japoneses. Desde o início de Junho, quando o Serviço de Pensões do país foi informado
sobre o ciberataque, diversas organizações japonesas começaram a implementar medidas de
protecção. No entanto, os ciberatacantes, devem ter mantido uma estreita vigilância sobre eles e
começaram a utilizar novos métodos de ataque que ampliaram com êxito o seu impacto", conta
Vicente Díaz, analista principal da Kaspersky Lab.
Com o objectivo de reduzir o risco de ser infectado por uma campanha de ciberespionagem, os
analistas da Kaspersky Lab recomendam que se sigam as seguintes medidas:
•
Manter actualizado o software, especialmente software que é muito utilizado, já que é
normalmente o mais explorado pelos cibercriminosos
•
Se sabe que existem vulnerabilidades no software do dispositivo, mas não existem
correcções para as mesmas, evite o uso desse software
•
Suspeite de mensagens de email com ficheiros anexos
•
Use uma solução anti-malware
Os produtos da Kaspersky Lab detectam com êxito e bloqueiam o malware com os seguintes
nomes de detecção:
o Backdoor.Win32.Emdivi. *
o Backdoor.Win64.Agent. *
o Exploit.SWF.Agent. *
o HEUR: Backdoor.Win32.Generic
o HEUR: Exploit.SWF.Agent.gen
o HEUR: Trojan.Win32.Generic
o Trojan-Downloader.Win32.Agent. *
o Trojan-Dropper.Win32.Agent. *
Mais informações sobre a campanha de ciberespionagem Blue Termite em Securelist.com
https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/
Mais informação sobre outras operações de ciberespionagem que se dirigem ou já se dirigiram ao
Japão no passado aqui: https://apt.securelist.com/#secondPage/countriesdata=39
http://www.youtube.com/watch?v=FzPYGRO9LsA
Sobre a Kaspersky Lab
Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4
maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a
Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes
empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo
mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.
A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta
classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC
#235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de
segurança endpoint em 2011.
Para mais informação, contactar:
LANÇA PALAVRA
Ana Paula
Tel. +351 243107197
Mov: +351 962543653
E-mail: [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
E-mail [email protected]
© A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da
Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços.
Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos
erros técnicos ou editoriais ou omissões presentes no texto.