Gangue de malware planta evidências incriminarótias em PCs e prende vítimas

Na última década, criminosos não identificados plantaram evidências incriminatórias nos dispositivos de defensores dos direitos humanos, advogados e acadêmicos na Índia, aparentemente para prendê-los.

Isso está de acordo com o SentinelOne, que nomeou a tripulação ModifiedElephant e descreveu as técnicas e alvos do grupo desde 2012 em um relatório publicado na quarta-feira.

“O objetivo do ModifiedElephant é a vigilância de longo prazo que às vezes termina com a entrega de ‘provas’ – arquivos que incriminam o alvo em crimes específicos – antes de prisões convenientemente coordenadas”, disse Tom Hegel, pesquisador de ameaças do SentinelOne, em um post.

Hegel disse que o grupo opera há anos sem atrair a atenção da comunidade de segurança cibernética por causa de seu escopo limitado de operações, sua segmentação regional específica e suas ferramentas relativamente pouco sofisticadas.

ModifiedElephant prefere phishing com anexos maliciosos do Microsoft Office para atacar alvos e infectá-los com malware do Windows.

Em 2013, suas mensagens contavam com anexos de arquivos executáveis ​​com extensões duplas enganosas no nome do arquivo (por exemplo filename.pdf.exe, ). Depois de 2015, o grupo usou arquivos .doc.pps.docx.rare protegidos por senha . .rarEm 2019, seu vetor de ataque envolvia links para arquivos maliciosos hospedados, e o grupo também teria empregado grandes arquivos .rar para evitar a detecção.

A gangue também foi observada jogando malware Android nas vítimas.

Não há nada tecnicamente impressionante sobre esse ator de ameaças, em vez disso, nos maravilhamos com sua audácia

“Há algo a ser dito sobre o quão mundanos são os mecanismos desta operação”, disse Juan Andrés Guerrero-Saade, pesquisador de ameaças do SentinelOne e professor adjunto do Johns Hopkins SAIS, via Twitter . “O malware é lixo personalizado ou lixo de commodities. Não há nada tecnicamente impressionante sobre esse agente de ameaças, em vez disso, ficamos maravilhados com sua audácia.”

Diz-se que a ativista Rona Wilson foi um dos alvos do ModifiedElephant. Wilson foi preso em 2018 com outras oito pessoas no caso Bhima Koregaon , um confronto violento entre nacionalistas hindus e dalits. Um ano atrás, a Arsenal Consulting, uma empresa forense digital com sede nos EUA, informou que as evidências contra Wilson haviam sido plantadas.

“A análise do Arsenal neste caso revelou que o computador de Rona Wilson foi comprometido por pouco mais de 22 meses”, disse a Arsenal Consulting em seu relatório de 8 de fevereiro de 2021. “O invasor responsável por comprometer o computador do Sr. Wilson tinha muitos recursos (incluindo tempo) e é óbvio que seus principais objetivos eram a vigilância e a entrega de documentos incriminadores”.

“O Arsenal conectou o mesmo invasor a uma infraestrutura de malware significativa que foi implantada ao longo de aproximadamente quatro anos para não apenas atacar e comprometer o computador de Wilson por 22 meses, mas também para atacar seus co-réus no caso Bhima Koregaon e réus. em outros casos indianos de alto perfil também.”

Uma das provas mais sérias neste caso Ltr_1804_to_cc.pdf, que inclui detalhes de um suposto plano de assassinato contra o primeiro-ministro indiano Narendra Modi, teria sido colocada no computador de Wilson por meio de uma sessão remota do NetWire RAT.

O telefone de Wilson também foi encontrado com o spyware Pegasus do NSO Group. Ele permanece na prisão, aguardando julgamento com outros presos na época. Ele foi acusado de acordo com a Lei de Atividades Ilícitas (Prevenção) da Índia (UAPA), uma lei antiterror que a Anistia Internacional diz que “viola vários padrões internacionais de direitos humanos e contorna as garantias de julgamentos justos”.

O SentinelOne não declara explicitamente que ModifiedElephant atua em nome do governo indiano, mas observa como as atividades do grupo são consistentes com os interesses do governo.

“Observamos que a atividade do ModifiedElephant se alinha nitidamente com os interesses do estado indiano e que há uma correlação observável entre os ataques do ModifiedElephant e as prisões de indivíduos em casos controversos e politicamente carregados”, escreveu Hegel.

De acordo com o relatório, a infraestrutura da web do ModifiedElephant se sobrepõe à Operação Ressaca, um esforço de vigilância que remonta a 2013 contra alvos de interesse da segurança nacional indiana. A empresa de segurança também disse que Wilson foi alvo de um segundo grupo de ameaças, conhecido como SideWinder [ PDF ], que atacou organizações governamentais, militares e do setor privado em toda a Ásia.

Hegel observa que o SentinelOne no ano passado informou sobre um agente de ameaças operando na Turquia e nos arredores, apelidado de EGoManiac , que plantou evidências incriminatórias nos dispositivos de jornalistas para apoiar as prisões feitas pela Polícia Nacional Turca.

“Em última análise, esta é uma pesquisa com custo humano real”, disse Guerrero-Saade. “Os réus permanecem na prisão, com um que faleceu recentemente. E há mais que não foram identificados. Só podemos esperar que isso traga mais atenção e colaboração para coibir esse comportamento”.

Fonte: theRegister.com