Um grupo de investigadores em cibersegurança descobriram uma série de ataques de um grupo asiático conhecido como Ke3chang, utilizando um malware nunca antes visto, o Okrum.
Se suspeita que o grupo opera fora das fronteiras da China, e reporta as suas descobertas ao governo central em Beijing. Muitas das suspeitas se fundamentam em ataques anteriores a diplomáticos da Europa, Centro e América do Sul. O país mais atacado pelo grupo foi a Eslováquia, e desde 2017 outros países foram vítimas do Ke3chang, como Bélgica, Croácia, República Checa, Brasil, Chile e Guatemala.
Os ataques do Ke3chang usando o Okrum são seletivos, com alvos muito bem identificados. Por causa de sua natureza privada e ao subterfúgio, é natural pensar que se trata de uma operação de espionagem internacional.
Como funciona o malware Okrum
De acordo com uma investigação do ESET, o Okrum tem um método muito inteligente para ser ativado e, rapidamente, desaparecer. Porém, ainda não está muito claro de qual maneira ele é distribuído, mas o malware tem um sistema de segurança que detecta se ele está executando em uma máquina de sandbox ou de investigação. Dessa forma, ele se auto-elimina para evitar ser detectado e analisado.
O payload do malware só se ativa logo depois de clicar três vezes no botão esquerdo do mouse. O motivo é bem simples: saber que se trata de uma máquina funcional, e não uma pegadinha, ou algo para emular uma máquina real.
Depois de instalado, o Okrum pode entregar a si mesmo privilégios de administrador. Assim, ele pode coletar informações da máquina infectada: nome do usuário, endereço do host IP e qual versão do sistema operacional está instalado.
O malware também é capaz de realizar o download e upload de arquivos, presumivelmente para roubar os dados das máquinas diplomáticas. Inclusive está provado que o Okrum pode instalar o Mimikatz, um conhecido keylogger e ladrão de senhas.
Ke3chang não vai parar
A investigação do ESET afirma que o Ke3chang está atuando há mais de uma década, e os seus métodos foram se aperfeiçoando. Muito provavelmente o grupo chinês vai seguir atuando no futuro, e é bem provável que alvos diplomáticos em todo o mundo precisam reforçar as suas medidas de de segurança desde já.