Ciberataques ao grupo étnico turco Uigures

Ciberataques, que usam o logotipo da Agência das Nações Unidas para os Refugiados, UNHRC, estão em curso para atingir o grupo étnico turco Uigures. Os atacantes agem com disfarce de uma fundação falsa para a instalação de um backdoor malicioso para espionagem.

Ciberataques ao grupo étnico turco Uigures
Ciberataques ao grupo étnico turco Uigures. Foto: © Rosa Pinto

Uma corrente de ciberataques como alvo os Uigures, um grupo étnico turco localizado em Xinjiang, China e no Paquistão, foi identificada pela empresa de cibersegurança Check Point, através da Check Point Research, em colaboração com a equipa de investigação e análise da empresa Kaspersky.

A Check Point Research descreve que os atacantes enviam documentos maliciosos sob disfarce da Organização das Nações Unidas (UN) e de uma falsa fundação de direitos humanos, a “Turkic Culture and Heritage Foundation”. As mensagens incitando os utilizadores a instalar, sem o seu conhecimento, um backdoor do software Windows que permite espiar os computadores.

Os vetores de ataque

A Check Point Research e os investigadores da Kaspersky identificaram dois vetores de ataque:

Documentos enviados via e-mail. São enviados por correio eletrónico documentos maliciosos cujo objetivo é descarregar para o computador um backdoor para o Windows que permite espiar o dispositivo.

Através do website da fundação falsa. O website procura convencer os visitantes a fazer download de um backdoor.NET, sob pretexto de ser um scanner de segurança. Depois, é pedido ao utilizador para fornecer as informações pessoais necessárias à concretização de um suposto pedido de subvenção.

A investigação

A investigação começou com a descoberta de um documento malicioso como a designação “UgyhurApplicationList.docx”, que continha o logotipo do Agência das Nações Unidas para os Refugiados (UNHRC) e conteúdo falso de uma assembleia geral das Nações Unidas sobre as violações dos direitos humanos.

A análise do documento levou os investigadores à descoberta de um website relacionado com uma fundação falsa que procura ludibriar os Uigures que querem candidatar-se a uma subvenção. A TCAHF, sigla para “Turkic Culture and Heritage Foundation”, é uma suposta organização privada que financia e apoia grupos que trabalham em prol da cultura Tukric e dos direitos humanos. Na verdade, esta fundação não existe e é totalmente inventada. A maior parte do conteúdo do website da falsa fundação é copiado do “opensocietyfoundation.org”, uma organização, de facto, legítima.

As vítimas

Os investigadores consideram que esta é uma campanha que tem o objetivo de atacar a minoria Uigur ou as organizações que a apoiam. De acordo com dados da Check Point Research e da Kapersky, foram identificadas apenas vítimas no Paquistão e na China. Em ambos os casos, as vítimas estavam localizadas em regiões predominantemente habitadas por este grupo étnico em específico.

“O que vemos aqui são ciberatacantes a visar a comunidade Uigur. Estes ataques utilizam claramente a temática do Conselho de Direitos Humanos das Nações Humanas para enganar os utilizadores-alvo, incitando-os ao download de um malware”, esclarece Lotem Finkelsteen, Head of Threat Intelligence da Check Point.

O responsável da Check Point acrescenta: “Acreditamos que tenham como principal motivação a espionagem, sendo o golpe final a instalação de um backdoor nos computadores das personalidades de destaque da comunidade Uigur. A nossa investigação concluiu que os ataques são delineados para dispositivos infetados por impressão digital, incluindo todos os seus programas em execução. Do que sabemos até agora, os ataques estão a decorrer e está a ser criada uma nova infraestrutura para futuras oportunidades.”

Apesar de não terem encontrado semelhanças de código ou de infraestrutura com algum grupo de cibercriminosos já identificado, os investigadores atribuem esta atividade, com baixa a média confiança, a um agente malicioso de língua chinesa. Ao examinar o documento que iniciou a investigação, descobriram-se excertos de código semelhantes ao código VBA que aparece em múltiplos fóruns chineses, e suspeitam que possa ter sido copiado diretamente.