O filme “Sete anos no Tibet” (1997) conta a história da transformação de um homem e de um menino – respectivamente Heinrich Harrer e o Dalai Lama – ao mesmo tempo em que narra a invasão do pequeno e montanhoso país asiático por tropas da recém formada República Popular da China em 1950, sob o discurso de que o país precisaria ser libertado do imperialismo britânico.

Sessenta e seis anos se passaram e o Tibet ainda é um país dominado pelos chineses. Dalai Lama, Nobel da Paz, é o maior embaixador tibetano e  percorre o mundo transmitindo sua mensagem, mas está impedido de voltar para seu país desde que os chineses entraram, e vive exilado na Índia. Deste então, muita gente do mundo todo se uniu em grupos ativistas com o objetivo de libertar o país. Estes grupos sempre sofreram ataques de diversos tipos, mas mais recentemente uma das principais armas usadas contra estes ativistas é o spear phishing. Ou seja, o phishing direcionado.

No começo deste ano o time de pesquisas da Palo Alto Networks descobriu uma campanha em curso há pelo menos quatro anos contra ativistas pela libertação do Tibet e do povo Uyghur, também sob o domínio chinês. A campanha foi chamada de Scarlet Mimic (ou “mímico escarlate” em uma tradução livre para o português) e consiste na instalação de malwares para o controle de acesso remoto, conhecidos como RAT – Remote Access Trojan.

A equipe de pesquisas do Citizen Lab se aprofundou nos dados do Scarlet Mimic trazendo muitas das informações para esse nosso artigo. Nestes quatro anos os grupos por trás da campanha tiveram o cuidado de criar mensagens de phishing direcionado com anexos maliciosos apelando para os temas a de interesse dos ativistas, ou ainda falsificando o endereço de pessoas de organizações não governamentais.

A primeira mensagem tinha como remetente o endereço falsificado do diretor de uma das ONGs e como destinatários algumas pessoas chave da organização. A mensagem dizia:

Data: 03 de julho de 2013

Assunto: Re: [Comitê de Direção] conclusões da Revisão do Plano Estratégico

Caros membros do Comitê de Direção,

Obrigado a todos por todas as boas sugestões! Segue o Plano Estratégico revisado e aguardamos mais comentários, por favor!

Esta mensagem tinha como anexo o arquivo pshvb.exe  que foi identificado pela empresa de antivírus Trend Micro como parte de uma família de malware chamada de FakeM. Estes malwares têm o objetivo de monitorar conexões SSL.

Em outro ataque de março de 2014, agora visando jornalistas tibetanos, o mesmo malware é enviado por anexo em mensagens cujo endereço falsificado é do escritório do Dalai Lama em Taiwan. Há algumas variações no texto dos e-mails mas todas fazem referência à questão política tibetana ou a visitas oficiais do líder religioso.

Em 2014 é iniciada uma nova onda de ataques,  dessa vez com um leque de alvos mais aberto na comunidade tibetana. Esse momento também inaugura uma fase de maior sofisticação no ataque; o texto da mensagem visa estimular o usuário a clicar no link de um vídeo  buscando capturar credenciais de acesso no Google por meio de uma pagina falsa de autenticação.

De: Dorjee Tenzin <[email protected]>

Data: 22 de Novembro de 2015

Assunto: Como a CHINA trata o Tibet e os Tibetanos – vídeo

Esse vídeo –  Como a CHINA trata o Tibet e os Tibetanos – é curto e fácil de entender. Deve ser visto.

http://www.downvids.net/how-china-takes-care-of-tibet-and-tibetans-595657.html

Ao clicar no link o usuário é direcionado para a página falsa do Google (abaixo a tela falsa em comparação com a verdadeira).

Assim que o usuário fornece seu login e senha do Google para o atacante um vídeo relacionado ao tema é exibido (imagem abaixo) para que o usuário não desconfie que ele acabou de cair em um phishing.

A mesma técnica também foi usada para instalar malwares em máquinas de ativistas ligados a outros temas, como o da mudança climática.

O caso é um alerta para as entidades cuja atividade se baseia no confronto de ideias contra atores poderosos. Como formas de se proteger,  recomendamos a ativação de mecanismos de duplo fator de autenticação (veja os links de como proceder no Google e Facebook) além de estar sempre atento às dicas deste blog.

Fonte:
Citzen Lab