# Night Dragon ## Descrição Night Dragon foi uma campanha de espionagem cibernética descoberta e relatada pela McAfee em fevereiro de 2011, ativa pelo menos desde novembro de 2009. Os alvos eram empresas dos setores de petróleo, energia e petroquímica, além de executivos em Cazaquistão, Taiwan, Grécia e Estados Unidos. Os atores da ameaça - avaliados como um grupo com base na China - buscavam sistematicamente informações sobre sistemas de produção de campos de petróleo e gás, dados financeiros sensíveis e dados de sistemas SCADA relacionados à infraestrutura de energia. O modus operandi combinava spearphishing ([[t1566-002-spearphishing-link|T1566.002]]) e exploração de aplicações web públicas ([[t1190-exploit-public-facing-application|T1190]]) para acesso inicial, seguidos de implantação de web shells ([[s0073-aspxspy|ASPXSpy]]) e RATs ([[s0350-zwshell|zwShell]]) para acesso remoto persistente. O grupo utilizou serviços de VPN e proxies comerciais sediados na China como infraestrutura de saída, e os horários de atividade observados eram consistentes com o fuso horário UTC+8 (China Standard Time). A campanha foi notável por sua duração - mais de um ano sem detecção - , pela qualidade das informações acessadas (planos de negócios, dados de produção, sistemas SCADA) e por demonstrar que atores estatais chineses haviam desenvolvido capacidades sistemáticas de espionagem industrial muito antes das exposições públicas de grupos como APT1 (Mandiant, 2013). ## Impacto A campanha resultou em exfiltração massiva de segredos comerciais e dados estratégicos do setor de energia global. Informações sobre campos de petróleo, planos de exploração e dados financeiros de empresas em múltiplos países foram comprometidas durante mais de um ano de acesso persistente. O impacto foi principalmente de inteligência econômica - dados que conferiam vantagem competitiva e estratégica a quem os detivesse, sugerindo objetivo de espionagem industrial em benefício de empresas estatais chinesas no setor de energia. ## Relevância LATAM/Brasil O setor de petróleo e gás brasileiro - representado principalmente pela Petrobras e empresas parceiras - constitui um alvo estratégico de alto valor para grupos de espionagem industrial com padrões operacionais similares ao Night Dragon. A Petrobras opera campos de produção complexos e detém informações estratégicas sobre reservas do pré-sal de interesse geopolítico significativo. Organizações do setor de energia e petroquímico brasileiro devem revisar proteções em sistemas SCADA/ICS, segmentar redes operacionais de TI corporativa e fortalecer a detecção de web shells em servidores públicos. ## Técnicas Utilizadas - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1112-modify-registry|T1112 - Modify Registry]] ## Software Utilizado - [[s0008-gsecdump|gsecdump]] - [[s0073-aspxspy|ASPXSpy]] - [[s0350-zwshell|zwShell]] - [[s0110-at|at]] - [[psexec|PsExec]] --- --- *Fonte: [MITRE ATT&CK - C0002](https://attack.mitre.org/campaigns/C0002)* *Fonte: McAfee - "Night Dragon: Systematic Cyber Attacks Targeting Global Oil And Energy Companies" (Fevereiro 2011)*