operation-bull - RunkIntel

# Operation Bull - Windshift Espionagem iOS 2020 > [!medium] Campanha de Espionagem Mobile - iOS Targeting > Campanha do grupo Windshift focada em espionagem via dispositivos iOS contra funcionários governamentais e de telecomúnicações no Oriente Médio. O grupo explorou perfis de configuração maliciosos e apps fora da App Store para instalar spyware nos dispositivos dos alvos. ## Visão Geral A **Operation Bull** é uma campanha mobile de espionagem atribuída ao grupo [[g0112-windshift|Windshift]], documentada em 2020. A operação focou no comprometimento de dispositivos iOS de funcionários governamentais e de telecomúnicações no Oriente Médio, usando técnicas de engenharia social sofisticadas para induzir as vítimas a instalar aplicativos maliciosos fora do canal oficial da App Store. O [[g0112-windshift|Windshift]] demonstra nesta campanha uma capacidade técnica notável para iOS - uma plataforma amplamente percebida como mais segura que Android. O grupo explorou dois vetores específicos: perfis de configuração maliciosos (que podem sobrepor controles de segurança do iOS) e apps distribuídos via Enterprise Certificate Provisioning, um mecanismo legítimo para distribuição corporativa de apps que pode ser abusado para instalar software não revisado pela Apple. O [[windtale|WindTale]] - o spyware iOS desta campanha - demonstra capacidades de vigilância abrangentes: coleta de contatos, interceptação de mensagens, captura de localização GPS e, em versões mais avançadas, acesso ao microfone. A persistência é desafiadora no iOS sem jailbreak, então o grupo focou em exfiltração rápida de alto volume durante as sessões ativas. A Operation Bull é um exemplo do que analistas chamam de "targeted mobile surveillance" - diferente do mercado de stalkerware de massa, estas ferramentas são desenvolvidas específicamente para operações de inteligência contra alvos de alto valor. **Plataformas:** iOS, Android ## Cadeia de Infecção ```mermaid graph TB A["🎭 Engenharia social WhatsApp ou email de contato confiável"] --> B["📱 Link para perfil iOS ou app via Enterprise Certificate"] B --> C{"Tipo de payload"} C -- Perfil malicioso --> D["⚙️ MDM Profile instalado sobrepõe controles de privacidade do iOS"] C -- App malicioso --> E["📦 WindTale instalado via Enterprise Provisioning disfarçado de app legítimo"] D --> F["📤 Exfiltração de dados contatos, calendário localização GPS"] E --> F F --> G["📡 C2 HTTPS dados enviados para infraestrutura do atacante"] ``` **Ataque via Enterprise Certificate:** ```mermaid graph TB A["🏢 Windshift adquire Apple Enterprise Developer Certificate legítimo"] --> B["📦 WindTale assinado parece app corporativo legítimo para o iOS"] B --> C["🔗 Link enviado para alvo via mensagem direta"] C --> D["✅ iOS exibe aviso de confiança - alvo aceita (engenharia social)"] D --> E["💀 Spyware ativo coleta dados de forma silenciosa"] ``` ## Técnicas Utilizadas | ID | Nome | Fase | |----|------|------| | [[t1566-002-spearphishing-link\|T1566.002]] | Spearphishing Link | Link para perfil MDM ou app malicioso | | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | C2 via HTTPS para exfiltração | | [[t1636-004-contact-list\|T1636.004]] | Contact List | Coleta de contatos para mapeamento de relacionamentos | | [[t1430-location-tracking\|T1430]] | Location Tracking | GPS e localização contínua | ## Capacidades do WindTale (iOS) O **WindTale** é o componente iOS do arsenal do Windshift: - **Coleta de contatos**: Extrai toda a agenda telefônica para mapeamento de relacionamentos do alvo - **Calendário**: Acesso a compromissos futuros - informações sobre reuniões e viagens - **Localização GPS**: Rastreamento contínuo ou sob demanda - **Fotos e mídia**: Acesso à galeria do dispositivo - **Mensagens**: Em versões com configuração de perfil, acesso mais amplo a comúnicações A ausência de jailbreak limita a persistência: apps removidos manualmente encerram a vigilância. Por isso o grupo focava em exfiltração rápida e volume alto durante o período ativo. ## Contexto no Ecossistema de Espionagem Mobile O Windshift opera em um ecossistema de ferramentas de espionagem mobile que inclui também o NSO Group (Pegasus) e a Intellexa (Predator). A diferença principal é o modelo: enquanto Pegasus e Predator são produtos comerciais de "lawful intercept" vendidos a governos, as ferramentas do Windshift parecem ser desenvolvimento interno de um ator estatal específico. Esta distinção importa para atribuição e defesa: a infraestrutura do Windshift é mais estável e rastreável que os serviços comerciais, mas as capacidades técnicas são em geral menos avançadas que exploits zero-click dos produtos comerciais. ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil e América Latina > O modelo de ataque com perfis MDM maliciosos e Enterprise Certificates abusados é documentado em contextos brasileiros por grupos de cibercrime locais que distribuem apps bancários falsos em iOS e Android. Equipes de segurança em empresas com BYOD devem incluir esta TTP em avaliações de risco. A relevância direta da Operation Bull para o Brasil é limitada pelo foco geográfico do Windshift no Oriente Médio. Contudo, o modelo de ataque - perfis MDM maliciosos e Enterprise Certificates abusados - é documentado em contextos brasileiros por grupos de cibercrime locais que usam técnicas similares para distribuir apps bancários falsos em iOS e Android. Profissionais de segurança que gerenciam frotas de dispositivos móveis corporativos no Brasil devem: 1. Bloquear instalação de apps via Enterprise Certificate não aprovados corporativamente 2. Implementar MDM corporativo para visibilidade de perfis instalados 3. Treinar usuários sobre riscos de perfis de configuração de fontes desconhecidas ## Detecção **Indicadores de comprometimento:** - Perfil de configuração iOS instalado de provedor não reconhecido (checar em Ajustes > Geral > Gerenciamento de Dispositivo) - App iOS assinado por Enterprise Certificate de desenvolvedor desconhecido - Processo de app em background com acesso intenso a localização e contatos **Fontes de dados:** - **Apple MDM Logs**: Instalações de perfil não originadas do MDM corporativo - **Mobile EDR (Lookout, Zimperium)**: Detecção de apps suspeitos e perfis maliciosos **Regras de detecção:** - Verificação manual de perfis em Ajustes > Geral > VPN e Gerenciamento de Dispositivo - Mobile Threat Defense: alertas de apps com Enterprise Certificate de publisher desconhecido ## Referências - [1](https://attack.mitre.org/groups/G0112/) MITRE ATT&CK - Windshift (G0112) - [2](https://www.trendmicro.com/en_us/research/18/k/the-apt-group-windshift.html) Trend Micro - Windshift APT Mobile Operations - [3](https://objective-see.org/blog/blog_0x3B.html) Objective-See - Windshift Desktop/Mobile Analysis - [4](https://www.lookout.com/threat-intelligence) Lookout Security - Mobile APT Research