A evolução das práticas de ciberespionagem elevou-se a um novo patamar com o surgimento da Operação Digital Eye, uma campanha cibernética sofisticada atribuída a um suposto grupo de Ameaça Persistente Avançada (APT) com vínculos à China. De acordo com Aleksandar Milenkoski, pesquisador sênior de ameaças da SentinelLabs, e Luigi Martire, analista sênior de malware da Tinexta Cyber, esta campanha foi direcionada a grandes fornecedores de serviços de TI Business-to-Business (B2B) no sul da Europa, abrangendo o período entre o final de junho e meados de julho de 2024. O modus operandi deste ataque é intrigante e levanta sérias preocupações sobre a vulnerabilidade de ferramentas amplamente utilizadas no desenvolvimento de software.

Como os hackers exploraram o Visual Studio Code

O que torna essa operação especialmente notável é que, segundo a SentinelLabs, este é o “primeiro caso de um grupo APT chinês usando essa técnica”. Os hackers conseguiram sequestrar o recurso Remote Tunnels do Visual Studio Code para manter conexões de comando e controle (C2). Ao aproveitar softwares associados a fluxos de trabalho de desenvolvimento legítimos, os atacantes conseguiram camuflar suas atividades maliciosas. O recurso Remote Tunnels oferece capacidades completas de acesso ao endpoint, permitindo a execução de comandos e interações com o sistema de arquivos. O uso de executáveis que foram digitalmente assinados pela Microsoft, e a utilização da infraestrutura de tunelamento nos servidores da Azure, colocaram o ataque em um contexto em que seria improvável que fosse detectado por controles de aplicação e firewalls. Essa escolha estratégica conferiu aos cibercriminosos um acesso discretamente eficaz aos sistemas comprometidos.

Motivações e alvos da Operação Digital Eye

A Operação Digital Eye focou em entidades responsáveis pela gestão de dados, infraestruturas e cibersegurança para indústrias de grande porte, que se tornaram alvos primevos para espionagem, proporcionando acesso a informações sensíveis de organizações-clientes. Segundo os relatórios das duas empresas de segurança cibernética, “uma presença sustentada dentro dessas organizações forneceria aos operadores da Operação Digital Eye um ponto estratégico de atuação, criando oportunidades para intrusões ao longo da cadeia de suprimentos digital”. A sofisticação e o cronograma da operação sugerem fortemente que o ataque é patrocinado pelo Estado e mantém conexões com interesses da China, com o objetivo de acessar informações críticas e comprometer ambientes de TI essenciais.

Métodos de infecção e progresso da operação

Os invasores utilizaram injeções SQL para comprometer servidores web e bancos de dados expostos à internet, contando com a ferramenta automatizada SQLmap para explorar vulnerabilidades. Uma vez dentro, eles implantaram um webshell baseado em PHP chamado PHPsert, que utilizava técnicas de ofuscação simples, mas eficazes, para executar o código PHP fornecido pelos atacantes. Os arquivos do PHPsert foram disfarçados com a linguagem e o contexto tecnológico relevantes para o ambiente alvo, tornando-os ainda mais difíceis de detectar. Desde a entrada nos sistemas, os cibercriminosos priorizaram a vigilância, empregando tanto ferramentas de terceiros – como o GetUserInfo – quanto utilitários nativos do Windows, como o ping. Para se mover lateralmente nas redes, adotaram sessões de Remote Desktop Protocol (RDP) combinadas com uma técnica pass-the-hash, facilitada por uma variante do Mimikatz chamada bK2o.exe.

Problemas de segurança no uso da arquitetura de Visual Studio Code

A Operação Digital Eye fez amplo uso da infraestrutura do provedor de serviços europeu M247, além dos servidores da Azure. Essa infraestrutura, oriunda dos datacenters da Microsoft em regiões como Itália Norte e Europa Ocidental, auxiliou na ocultação das atividades maliciosas, apresentando-se como legítima aos olhos da rede. Um arquivo de configuração extraído, usado para executar o Visual Studio Code como um serviço do Windows, sugere que os hackers adotaram uma abordagem prática e adaptativa, referenciando amostras públicas com apenas pequenas customizações para seus propósitos ilícitos. Quando em operação, o parâmetro “tunnel” do Visual Studio Code estabeleceu túneis de desenvolvimento para máquinas comprometidas, acessíveis de forma remota pelo aplicativo ou pela versão do navegador, vscode.dev.

Conexões reveladoras com operadores APT da China

A atribuição precisa da Operação Digital Eye continua a ser um desafio, pois o compartilhamento extensivo de código dentro da comunidade APT chinesa complica a identificação. No entanto, a SentinelLabs observa uma série de indícios que sugerem fortemente essa origem. Um exemplo disso é que variantes do webshell PHPsert continham comentários e trechos de código escritos em chinês simplificado, indicando provavelmente a participação de desenvolvedores de língua chinesa. Além disso, a utilização da ferramenta bK2o.exe para operações pass-the-hash está alinhada com padrões observados em campanhas conhecidas ligadas à China, como a Operação Soft Cell e a Operação Tainted Love. A inclusão do bK2o.exe dentro de uma maior caixa de ferramentas chamada mimCN, observada exclusivamente em operações vinculadas a clusters APT chineses, fortalece ainda mais essa conexão.

Desdobramentos e proteção contra futuras ameaças

A relação entre a Operação Digital Eye e campanhas APT chinesas anteriores destaca um esforço de longo prazo para evoluir as ferramentas e táticas utilizadas. Grupos como Granite Typhoon e APT41 têm realizado operações semelhantes, aplicando técnicas de gestão de infraestrutura compartilhada e payloads de malware sobrepostos. A SentinelLabs também notou que a compilação de timestamps do mimCN alinha-se de perto com as cronologias das campanhas, trazendo mais evidências contra a negação da participação estatal. A análise temporal revelou que toda a atividade da Operação Digital Eye ocorreu em dias úteis, entre às 9h e 21h no horário padrão da China (CST), um horário que corresponde às práticas de trabalho típicas no país.

Os pesquisadores da Tinexta Cyber e da SentinelLabs afirmaram ter detectado e interrompido a Operação Digital Eye em seus estágios iniciais, possivelmente evitando que os atacantes alcançassem o objetivo de exfiltração de dados confidenciais. Assim, medidas preventivas são de extrema importância. Especialistas em cibersegurança alertam sobre o uso abusivo do tunelamento do Visual Studio Code, que, apesar de ser uma técnica rara, é uma via poderosa de intrusão. À medida que os métodos utilizados pelos atores de ameaças se tornam cada vez mais complexos, a colaboração entre indústrias será vital para mitigar os riscos de ciberespionagem.

Se você deseja aprofundar seus conhecimentos sobre cibersegurança e nuvem, não perca a oportunidade de participar da Cyber Security & Cloud Expo, que ocorrerá em Amsterdã, Califórnia e Londres. O evento abrangente estará co-localizado com outros eventos líderes, como Digital Transformation Week, IoT Tech Expo, Blockchain Expo e AI & Big Data Expo.

Explore outros eventos de tecnologia empresarial e webinars promovidos pela TechForge.

Tags: ameaça persistente avançada, apt, china, codificação, cibersegurança, desenvolvimento, exploração, hack, sequestro, ide, infosec, operacao digital eye, programacao, túneis remotos, segurança, visual studio code, vs code.

Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *