Título: Operação Digital Eye: Hackers Chineses Usam Visual Studio Code para Ciberespionagem
Introdução
A Operação Digital Eye é uma sofisticada campanha de ciberespionagem atribuída a um grupo de Ameaça Persistente Avançada (APT) suspeito de ser originário da China. Recentemente, especialistas em segurança, incluindo Aleksandar Milenkoski da SentinelLabs, revelaram que esta operação teve como alvo prestadoras de serviços de TI voltadas para negócios na Europa do Sul. Neste artigo, exploraremos como os atacantes exploraram o Visual Studio Code, utilizando técnicas avançadas para ocultar suas atividades maliciosas.
Operação Digital Eye: Hackers Chineses Usam Visual Studio Code para Ciberespionagem
O que é a Operação Digital Eye?
A Operação Digital Eye destacou-se por aplicar uma técnica inovadora com o uso do recurso Remote Tunnels do Visual Studio Code. Essa abordagem permitiu que os hackers mantivessem conexões de comando e controle (C2) de maneira furtiva, aproveitando uma ferramenta normalmente utilizada em fluxos de trabalho de desenvolvimento legítimos. Isso dificultou a detecção de suas ações maliciosas, já que esses recursos costumam passar despercebidos por controles de aplicações e firewalls.
Métodos e Alvos dos Atacantes
Os principais alvos da operação foram organizações que gerenciam dados e infraestrutura de TI, bem como aspectos de segurança cibernética em setores críticos. A infiltração nessas entidades poderia proporcionar aos atacantes uma presença estratégica, possibilitando intrusões em toda a cadeia digital de fornecimento. A campanha visou coletar informações sensíveis e comprometer ambientes de TI, refletindo interesses geopolíticos e tecnológicos em meio a tensões crescentes nas relações sino-europeias.
Vetor de Infecção e Evolução da Ataque
Os hackers utilizaram injeção SQL para comprometer servidores web e de banco de dados expostos na internet, servindo-se do SQLmap para explorar vulnerabilidades. Após a invasão, implementaram um webshell baseado em PHP chamado PHPsert, que utilizava técnicas de ofuscação para executar código malicioso. Os atacantes disfarçaram seus arquivos para se adequar ao contexto local, dificultando ainda mais a detecção.
Para avançar lateralmente pela rede, eles utilizaram o Protocolo de Área de Trabalho Remota (RDP) e uma técnica chamada de “pass-the-hash”, com o auxílio de uma variante do Mimikatz chamada bK2o.exe. Além disso, mantinha-se a conexão por meio de backdoors habilitados para SSH e do recurso Remote Tunnels do Visual Studio Code, operando como serviços em segundo plano.
Exploração do Visual Studio Code
A exploração do Visual Studio Code foi particularmente astuta, pois os atacantes conseguiram rodar a aplicação como um serviço do Windows. O arquivo de configuração extraído indicou que os hackers utilizaram amostras acessíveis publicamente, fazendo apenas pequenas personalizações para seus fins ilícitos. Por meio do parâmetro “túnel”, criaram passagens de desenvolvimento para máquinas comprometidas, disponíveis remotamente.
Conexões com Operadores APT Chineses
A atribuição da Operação Digital Eye a operadores chineses é sustentada por diversas evidências. Entre elas, variantes do webshell PHPsert contêm comentários em chinês simplificado, sinalizando a criação por desenvolvedores que falam a língua. Além disso, ferramentas como bK2o.exe estão alinhadas com padrões observados em campanhas conhecidas ligadas à China, reforçando a ideia de um esforço coordenado em ciberespionagem com objetivos políticos e econômicos.
Prevenção e Mitigação
Os especialistas em cibersegurança alertam que a exploração do Visual Studio Code apresenta um método de intrusão raramente utilizado, porém extremamente poderoso. Organizações que utilizam essas ferramentas devem estar em alerta e implementar medidas para melhorar a visibilidade de redes e dispositivos. A colaboração entre indústrias se torna fundamental na mitigação de riscos relacionados à ciberespionagem, visto que os atacantes continuam a inovar suas abordagens.
Conclusão
A Operação Digital Eye evidencia a complexidade e a sofisticação das ameaças cibernéticas contemporâneas. À medida que as táticas dos grupos de APT evoluem, a vigilância constante e a adaptação das medidas de defesa são cruciais para garantir a segurança das informações. Fique atento e compartilhe suas experiências para ajudar a criar um ambiente digital mais seguro para todos.
