# Operation Dust Storm ## Descrição Operation Dust Storm foi uma campanha de espionagem cibernética de longa duração atribuída a atores com base na China, ativa de 2010 a pelo menos fevereiro de 2016, quando a Cylance públicou análise detalhada da operação. A campanha visou múltiplos setores no Jápão, Coreia do Sul, Estados Unidos, Europa e países do Sudeste Asiático, utilizando spearphishing ([[t1566-001-spearphishing-attachment|T1566.001]]) e drive-by compromise ([[t1189-drive-by-compromise|T1189]]) como vetores de acesso inicial, com um arsenal extenso de malware incluindo [[s0083-misdat|Misdat]], [[gh0st-rat|Gh0st RAT]] e [[s0012-poisonivy|PoisonIvy]]. A partir de 2015, os atores da Operation Dust Storm deslocaram seu foco para empresas jáponesas ou subdivisões jáponesas de organizações estrangeiras que suportam a infraestrutura crítica do Jápão - geração de eletricidade, petróleo e gás natural, finanças, transporte e construção. Essa mudança de alvo de inteligência governamental/de defesa para infraestrutura crítica é significativa: sugere objetivos de pré-posicionamento estratégico além de simples coleta de inteligência. Os atores também introduziram backdoors para Android a partir de 2015, expandindo o escopo de seus alvos para dispositivos móveis de executivos e funcionários das organizações visadas. A campanha utilizou técnicas sofisticadas de evasão, incluindo malware compactado ([[t1027-002-software-packing|T1027.002]]), arquivos codificados ([[t1027-013-encryptedencoded-file|T1027.013]]) e resolução dinâmica de domínios C2 ([[t1568-dynamic-resolution|T1568]]) para dificultar a detecção e bloquear indicadores de comprometimento. ## Impacto A campanha resultou em acesso prolongado a redes de infraestrutura crítica jáponesa - incluindo empresas de energia, petróleo e gás - , com potencial de causar disrupção operacional se os atacantes optassem por usar o acesso de forma destrutiva. O uso de backdoors Android indica que dados de dispositivos móveis de executivos também foram coletados. A longa duração sem detecção pública (2010-2016) sugere acesso estratégico contínuo a sistemas de alto valor. ## Relevância LATAM/Brasil O padrão operacional da Operation Dust Storm - foco em infraestrutura crítica e setores de energia de aliados de potências ocidentais - é relevante para o Brasil como principal economia da América Latina com infraestrutura crítica estratégica. Empresas brasileiras do setor elétrico, petróleo e gás (especialmente Petrobras e distribuidoras de energia) e do setor financeiro devem estar aténtas para campanhas com TTPs similares. A inclusão de backdoors Android reforça a necessidade de MDM e controles de segurança para dispositivos móveis corporativos. ## Técnicas Utilizadas - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1204-001-malicious-link|T1204.001 - Malicious Link]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1585-002-email-accounts|T1585.002 - Email Accounts]] ## Software Utilizado - [[s0083-misdat|Misdat]] - [[gh0st-rat|gh0st RAT]] - [[s0012-poisonivy|PoisonIvy]] - [[s0084-mis-type|Mis-Type]] - [[s0086-zlib|ZLib]] - [[s0085-s-type|S-Type]] --- --- *Fonte: [MITRE ATT&CK - C0016](https://attack.mitre.org/campaigns/C0016)* *Fonte: Cylance - "Operation Dust Storm" (Fevereiro 2016)*