Há pelo menos uma década operando em sigilo absoluto, um grupo de hackers vem plantando evidências fabricadas de atividades criminosas em dispositivos de pessoas inocentes. Muitas vezes, as “provas” falsas acabaram fornecendo um pretexto para a prisão das vítimas: ativistas de direitos humanos, defensores da liberdade de expressão, acadêmicos e advogados da Índia.
Um relatório publicado pela empresa de segurança cibernética SentinelOne revela detalhes sobre a atuação do grupo de hackers. Os pesquisadores esclarecem a maneira como essas atividades têm sido usadas para vigiar e atingir as vítimas selecionadas.
O grupo, apelidado de “ModifiedElephant”, atua desde 2012 e tem como objetivo a vigilância de longo prazo, que às vezes termina com a entrega de “provas” – arquivos que incriminam os alvos em crimes específicos – antes de prisões convenientemente coordenadas, dizem os pesquisadores.
Nesse artigo falamos sobre:
Finalidade política
O caso mais proeminente envolvendo o ModifiedElephant gira em torno do ativista maoísta Rona Wilson e um grupo associado a ele. Em 2018, eles foram presos pelos serviços de segurança da Índia e acusados de conspirar para derrubar o governo. As evidências para a suposta conspiração – incluindo um documento do Word detalhando os planos para assassinar o primeiro-ministro do país, Narendra Modi – foram encontradas no laptop de Wilson.
No entanto, uma análise forense posterior do dispositivo mostrou que os documentos eram realmente falsos e foram plantados usando malware. De acordo com os pesquisadores do SentinelOne, foi o grupo de hackers ModifiedElephant que colocou as provas falsas no dispositivo do ativista.
Este caso, que ganhou maior exposição depois de ser coberto pelo Washington Post, foi aberto depois que o laptop mencionado foi analisado pela empresa forense digital Arsenal Consulting, com sede em Boston. A conclusão das análises foi de que Wilson e todos os seus chamados co-conspiradores, assim como muitos outros ativistas, foram alvo de manipulação digital.
De acordo com a Arsenal, foi desenvolvida uma infraestrutura de malware significativa, implantada ao longo de aproximadamente quatro anos para atacar e comprometer o computador do ativista e de outras vítimas selecionadas. Wilson ainda está preso e alega que as acusações contra ele se baseiam apenas nos documentos (agora, comprovados falsos). Dois pedidos de liberdade condicional foram negados pelo governo, que afirma ter mais provas contra Wilson.
Técnicas nefastas para plantar falsas evidências
Conforme o relatório da SentinelOne, o ModifiedElephant usou ferramentas e técnicas comuns de hackers para se firmar nos dispositivos alvo. E-mails de phishing, normalmente adaptados aos interesses das vítimas, foram carregados com documentos maliciosos que continham ferramentas de acesso remoto (RATs) disponíveis comercialmente.
Estes, por sua vez, são programas fáceis de usar, capazes de sequestrar computadores, estando disponíveis na dark web. Especificamente, foram usados os trojans de acesso remoto DarkComet e Netwire – dois malwares bem conhecidos.
O ModifiedElephant também fez uso de keyloggers e de um malware Android não identificado, entregue às vítimas na forma de APK, enganando-as a instalá-lo ao se passar por aplicativo de notícias ou uma ferramenta de mensagens segura. Todas as iscas eram politicamente relacionadas e muitas vezes altamente adaptadas aos alvos, com tipos de abordagem distintos para ganharem a aparência de legitimidade.
Vigiando e inserindo documentos incriminatórios falsos
Uma vez que uma vítima era “fisgada” com sucesso e o malware dos hackers era baixado, o RAT permitia ao ModifiedElephant controle abrangente sobre os dispositivos das vítimas. Dessa forma, os hackers podiam conduzir discretamente a vigilância ou, como no caso de Wilson, distribuir documentos falsos e incriminatórios, escrevem os pesquisadores.
Ao que tudo indica, é muito difícil saber quem está por trás do ModifiedElephant. No entanto, a SentinelOne aponta que evidências contextuais sugerem que o grupo tem em mente os interesses do governo indiano. Para os pesquisadores, “existe uma correlação observável” entre os ataques dos hackers e as prisões de indivíduos em casos controversos e politicamente carregados.
Fonte: Olhar Digital
Você também pode curtir isso:
Postagens Recentes
- Desvendando o CAASM: saiba como as aplicações dessa técnica podem blindar sua empresa
- Desvendando o CAASM: entenda o que é a tecnologia e seus diferenciais
- Protegendo a Tecnologia Operacional: Desafios e Estratégias de Segurança.
- Automatize sua Segurança da Informação com o GAT Core
- 6 passos para a Gestão de Conformidade com a LGPD
Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
[email protected]
Siga-Nos
Conteúdo
Links