Introdução
Um grupo de hackers ligado à Rússia, conhecido como TAG-110, tem realizado uma campanha de ciberespionagem direcionada a organizações na Ásia Central, Leste Asiático e Europa. Utilizando ferramentas de malware personalizadas, HATVIBE e CHERRYSPY, o grupo tem como alvo principalmente entidades governamentais, grupos de direitos humanos e instituições educacionais[1][2].
Detalhes da Campanha
Alcance e Impacto
A campanha, iniciada em julho de 2024, já afetou 62 vítimas únicas em onze países, com foco principal na Ásia Central. Países como Tajiquistão, Quirguistão, Cazaquistão, Turcomenistão e Uzbequistão foram os mais atingidos, indicando um interesse estratégico da Rússia nessa região[1][2].
Alvos Notáveis
Entre as vítimas mais proeminentes estão:
- Centro Nacional de Direitos Humanos da República do Uzbequistão
- KMG-Security, subsidiária da empresa estatal de petróleo e gás do Cazaquistão, KazMunayGas
- Uma instituição educacional e de pesquisa no Tajiquistão[2]
Análise Técnica dos Malwares
HATVIBE
O HATVIBE é um carregador de aplicativo HTML (HTA) personalizado, projetado principalmente para implantar malwares adicionais, como o backdoor CHERRYSPY. Suas principais características incluem:
- Capacidade de executar VBScript arbitrário
- Persistência através de tarefas agendadas
- Duas camadas de ofuscação: codificação VBScript e criptografia XOR[1][2]
CHERRYSPY
O CHERRYSPY é um backdoor baseado em Python, usado para espionagem. Suas características incluem:
- Compilação em um arquivo de Módulo Dinâmico Python (.pyd) para evadir detecção
- Estabelecimento de conexão segura com o servidor de comando e controle via requisições HTTP POST
- Uso de criptografia RSA e AES para troca de chaves e segurança de dados
- Identificadores únicos, incluindo um ID de 24 caracteres codificado e um checksum SHA-256[1][2]
Motivações e Estratégia
A campanha do TAG-110 é provavelmente parte de uma estratégia russa mais ampla para:
- Coletar inteligência sobre desenvolvimentos geopolíticos
- Manter influência em estados pós-soviéticos
- Apoiar os esforços militares da Rússia na Ucrânia
- Obter insights sobre eventos geopolíticos em países vizinhos[1][2]
Conexões com Outros Grupos de Ameaças
O TAG-110 apresenta sobreposições com:
- UAC-0063, rastreado pelo CERT-UA (Equipe de Resposta a Emergências de Computador da Ucrânia)
- APT28, um grupo de ameaça persistente avançada patrocinado pelo estado russo[1][2]
Medidas de Prevenção e Mitigação
Para se proteger contra esses ataques, as organizações devem considerar:
- Implementar sistemas de detecção e prevenção de intrusões (IDS/IPS)
- Utilizar regras Snort, Suricata e YARA para alertar sobre comunicações de rede suspeitas
- Monitorar a criação de tarefas agendadas via mshta.exe
- Manter o software atualizado e corrigido
- Reforçar a conscientização de segurança através de treinamentos proativos
- Implementar autenticação multifator (MFA) sempre que possível[2]
Conclusão
A campanha do TAG-110 representa uma ameaça significativa à segurança cibernética na Eurásia. As organizações devem permanecer vigilantes e adotar medidas proativas de segurança para se proteger contra esses ataques sofisticados. À medida que as tensões geopolíticas persistem, é provável que vejamos um aumento na frequência e complexidade desses ataques cibernéticos patrocinados por estados.
Citations:
[1] https://thehackernews.com/2024/11/russian-hackers-deploy-hatvibe-and.html
[2] https://www.infosecurity-magazine.com/news/russian-cyber-spies-hatvibe/
