Em Março de 2020, a Mandiant, uma das principais empresas de segurança cibernética do mundo, publicou um relatório detalhando uma campanha global de intrusão iniciada em fevereiro daquele mesmo ano pelo grupo APT41, um grupo de ameaças persistentes avançadas (APT) com suspeita de atribuição à China.
Este grupo é conhecido por realizar atividades de espionagem patrocinadas pelo estado chinês, além de atividades motivadas financeiramente, possivelmente fora do controle estatal.
O APT41 é conhecido por vários apelidos na comunidade de segurança cibernética. Alguns dos mais comuns incluem:
- Barium
- Winnti
- Wicked Panda
- Wicked Spider
Esses apelidos são frequentemente usados por diferentes empresas de segurança cibernética para se referir ao mesmo grupo de ameaças. É importante notar que a atribuição de atividades cibernéticas a um grupo específico pode ser complexa e incerta, e diferentes organizações podem usar diferentes nomes para se referir ao mesmo grupo com base em suas próprias análises e descobertas.
O APT41 também é conhecido pelo apelido “Double Dragon”. Este nome é frequentemente usado para se referir ao grupo devido à sua dupla natureza de conduzir tanto operações de espionagem cibernética patrocinadas pelo estado quanto atividades criminosas financeiramente motivadas. A referência ao “dragão” é uma alusão comum à China, onde se acredita que o grupo tenha origem.
No Brasil, a XLabs Security, uma empresa líder em segurança de aplicações web e desenvolvedora de soluções de Firewall de Aplicação Web (WAF) e Rede de Distribuição de Conteúdo (CDN), desempenhou um papel crucial na defesa contra essas atividades maliciosas.
Durante o mesmo período em que o relatório da Mandiant destacou a atividade do APT41, a XLabs Security identificou e combateu ataques semelhantes, principalmente contra empresas de segurança em TI e empresas de turismo.
Notavelmente, as atividades maliciosas que identificamos contra empresas de turismo coincidiram com a data de 24 de fevereiro de 2020, o Ano Novo Lunar Chinês, data essa que o relatório da Mandiant descreve como o início das atividades de exploração das vulnerabilidades.
O APT41 é conhecido por monitorar empresas de turismo, linhas aéreas, pessoas e suas viagens, com o objetivo de rastreá-las. No contexto do surto de Covid-19, que estava começando a se espalhar globalmente na época, é possível que o APT41 estivesse tentando rastrear brasileiros que poderiam ter viajado para a China ou áreas infectadas e estivessem portando a doença.
Para se proteger contra essas ameaças, as empresas podem contar com as soluções robustas de WAF e CDN da XLabs Security. Nossas soluções de WAF ajudam a proteger as aplicações web contra uma variedade de ameaças, incluindo injeção de SQL, cross-site scripting (XSS) e ataques de negação de serviço (DDoS). Além disso, nossa CDN ajuda a melhorar a velocidade e a confiabilidade das aplicações web, ao mesmo tempo em que fornece uma camada adicional de segurança.
A XLabs Security está comprometida em proteger as empresas brasileiras contra as crescentes ameaças cibernéticas. Continuaremos a monitorar de perto as atividades dos grupos de APT e a fornecer as melhores soluções de segurança para nossos clientes.
Referências:
Mandiant – APT41 Initiates Global Intrusion Campaign Using Multiple Exploits
Mandiant – Advanced Persistent Threat (APT) Groups & Threat Actors
