operation-cloud-hopper

# Operation Cloud Hopper > [!danger] Espionagem em escala global via cadeia de fornecedores de TI > A Operation Cloud Hopper foi uma das maiores campanhas de espionagem cibernética já documentadas, conduzida pelo grupo chinês **menuPass (APT10)** entre 2014 e 2018. O grupo comprometeu dezenas de provedores de serviços gerenciados (MSPs) para acessar indiretamente centenas de empresas-clientes ao redor do mundo - um ataque à cadeia de fornecedores de TI de escala sem precedentes. ## Visão Geral A Operation Cloud Hopper representa uma mudança fundamental na estratégia de espionagem cibernética patrocinada por Estado: em vez de atacar cada alvo individualmente, o grupo [[g0045-apt10|menuPass (APT10)]] comprometeu provedores de serviços gerenciados (MSPs) - empresas que gerenciam infraestrutura de TI de terceiros - e usou o acesso legítimo desses provedores como trampolim para atingir seus clientes finais. A campanha foi exposta públicamente em abril de 2017 por um relatório conjunto da PricewaterhouseCoopers (PwC) e da BAE Systems, com apoio do UK National Cyber Security Centre. Em dezembro de 2018, o Departamento de Justiça dos Estados Unidos indiciou dois cidadãos chineses - Zhu Hua e Zhang Shilong - associados ao Ministério de Segurança do Estado (MSS) da China. As vítimas incluíam empresas nos setores de saúde, finanças, telecomúnicações, defesa, energia e [[government|governo]] em pelo menos 12 países. O diferencial técnico da operação foi o uso sistemático de credenciais legítimas de MSPs para movimentação lateral: uma vez dentro de um MSP, os atacantes usavam ferramentas de administração remota legítimas para acessar redes de clientes sem levantar alertas - tornando a detecção extremamente difícil. O malware customizado do grupo - [[s0144-chches|ChChes]], [[s0153-redleaves|RedLeaves]] e [[s0013-plugx|PlugX]] - foi instrumentalizado para manter persistência de longo prazo e exfiltrar propriedade intelectual em larga escala. O impacto geopolítico foi significativo: a campanha coincidiu com o período de negociação do acordo bilateral EUA-China de 2015 sobre espionagem cibernética, e evidências sugerem que o grupo retomou atividades logo após o acordo, demonstrando a continuidade do programa de coleta de inteligência econômica e militar da China. ## Attack Flow ```mermaid graph TB A["🎯 Spear-phishing inicial Email com documento Word malicioso para funcionários de MSPs-alvo"] --> B["Execução de macro Instalação de ChChes ou RedLeaves como backdoor de primeiro estágio"] B --> C["Reconhecimento interno Enumeração de credenciais de admin e mapeamento da infraestrutura MSP"] C --> D["Dump de credenciais Mimikatz para extrair hashes NTLM e credenciais de acesso remoto"] D --> E["Pivô para redes de clientes Acesso via ferramentas legítimas de MSP usando credenciais roubadas"] E --> F["Movimentação lateral PlugX e QuasarRAT para manter acesso persistente"] F --> G["Exfiltração de dados Propriedade intelectual, contratos governamentais, dados militares"] G --> H["C2 via Dynamic DNS Comúnicação encriptada para infraestrutura controlada pelo atacante"] ``` ## Arsenal Técnico ```mermaid graph TB subgraph Malware["Malware Utilizado"] M1["ChChes Backdoor de primeiro estágio Encriptação AES + RC4"] M2["RedLeaves RAT modular avançado Evolução do PlugX"] M3["PlugX RAT veterano DLL side-loading"] M4["QuasarRAT RAT open-source Operações persistentes"] M5["EvilGrab Captura de credenciais Keystroke logging"] end subgraph C2["Infraestrutura C2"] C1["Dynamic DNS Rotação frequente de domínios"] C2a["VPS alugados Múltiplos países para ofuscação"] C3["Domínios typosquatting Imitam empresas reais"] end M1 --> C1 M2 --> C1 M3 --> C2a M4 --> C3 ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Spear-phishing com documentos Word maliciosos como vetor inicial - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Uso de credenciais legítimas de MSPs para pivô em redes de clientes - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - Dump de credenciais via Mimikatz - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - DLL side-loading para carregar PlugX e RedLeaves - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS para evitar detecção - [[t1090-proxy|T1090 - Proxy]] - Encadeamento de proxies para ofuscar infraestrutura C2 - [[t1036-masquerading|T1036 - Masquerading]] - Malware disfarçado como processos legítimos do sistema - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Execução via PowerShell e cmd ## Software Utilizado - [[s0144-chches]] - Backdoor customizado do menuPass para primeiro acesso - [[s0153-redleaves]] - RAT modular, evolução do PlugX com capacidades ampliadas - [[s0013-plugx]] - RAT veterano usado em múltiplas campanhas APT10 - [[s0262-quasarrat]] - RAT open-source para persistência de longo prazo - [[s0152-evilgrab]] - Ferramenta de captura de credenciais e keylogging ## Impacto A Operation Cloud Hopper resultou no comprometimento de dezenas de MSPs nos EUA, Reino Unido, Jápão, Canadá, Austrália e Europa. Através dessas empresas intermediárias, o menuPass obteve acesso indireto a **centenas de organizações** em setores estratégicos: - Roubo de propriedade intelectual em [[technology|tecnologia]], [[defense|defesa]] e farmacêutica - Comprometimento de dados governamentais classificados - Exfiltração de contratos e estrategias de negócios de empresas de energia e mineração - Acesso a redes militares via fornecedores de defesa - Duração da campanha: pelo menos 4 anos antes da exposição pública O impacto estratégico excede o técnico: a campanha demonstrou que a cadeia de fornecedores de TI é um vetor de alto valor para espionagem estatal, mudando permanentemente a percepção de risco dos MSPs na indústria de segurança. ## Relevância LATAM/Brasil Embora o foco principal da Operation Cloud Hopper fosse EUA, Europa e Jápão, há evidências de impacto no Brasil e LATAM: - MSPs com operações no Brasil foram potencialmente comprometidos, expondo clientes brasileiros sem conhecimento - Setores afetados no Brasil incluem mineração, energia e [[telecommunications|telecomúnicações]] - áreas de grande interesse estratégico da China na LATAM - A campanha precedeu o aumento do investimento chinês em infraestrutura crítica do Brasil (energia, telecomúnicações, portos) - O modelo de ataque via MSP é altamente relevante para o mercado brasileiro, onde o uso de empresas de TI terceirizadas é prevalente - Lições aprendidas: empresas brasileiras que contratam MSPs com clientes globais devem considerar o risco de comprometimento lateral ## Detecção e Defesa **Detecções recomendadas:** - Monitorar uso anômalo de credenciais de contas de serviço de MSPs - especialmente fora do horário comercial - Detectar DLL side-loading: processos legítimos carregando DLLs de caminhos incomuns - Alertar sobre conexões outbound para Dynamic DNS com resolução frequentemente alternada - SIEM: correlacionar logins com geolocalização inesperada de contas de administrador - EDR: detectar execução de Mimikatz via heurísticas comportamentais **Mitigações:** - Implementar MFA para todos os acessos remotos de MSPs - Segmentação de rede entre ambiente do MSP e redes de clientes - Princípio do menor privilégio para contas de serviço usadas por MSPs - Monitoramento contínuo de atividade de contas privilegiadas com UBA/UEBA - Revisão periódica de acordos com MSPs incluindo cláusulas de segurança e auditoria - Threat hunting regular para sinais de DLL side-loading e uso de Mimikatz **Mitigações MITRE:** [[m1032-multi-factor-authentication|M1032 - MFA]] · [[m1018-user-account-management|M1018]] · [[m1026-privileged-account-management|M1026]] ## Referências - [1](https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf) PwC/BAE Systems - Operation Cloud Hopper Technical Report (2017) - [2](https://attack.mitre.org/campaigns/C0010/) MITRE ATT&CK - Operation Cloud Hopper C0010 (2023) - [3](https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion) US DoJ - Two Chinese Hackers Associated with MSS Charged (2018) - [4](https://www.ncsc.gov.uk/news/apt10-actors-compromising-global-managed-service-providers) NCSC UK - APT10 Advisory on MSP Compromise (2018) - [5](https://www.fireeye.com/blog/threat-research/2017/04/apt10_menupass_grou.html) FireEye - APT10 menuPass Group Technical Analysis (2017)