operation-ghost - RunkIntel

# Operation Ghost ## Descrição Operation Ghost foi uma campanha de espionagem cibernética do [[g0016-apt29|APT29]] (Cozy Bear / SVR russo) documentada pela ESET em outubro de 2019, com atividade identificada desde setembro de 2013 até pelo menos outubro de 2019. A operação visou ministérios de relações exteriores europeus e a embaixada de um país da União Europeia em Washington, D.C., com objetivo de coleta de inteligência diplomática estratégica para o serviço de inteligência estrangeiro russo (SVR). A campanha se distinguiu pelo uso de novas famílias de malware - incluindo [[s0512-fatduke|FatDuke]], [[s0051-miniduke|MiniDuke]], [[s0511-regduke|RegDuke]] e [[s0518-polyglotduke|PolyglotDuke]] - e por técnicas sofisticadas de evasão e C2. O [[g0016-apt29|APT29]] utilizou esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar comúnicações dentro de imagens em redes sociais, com infraestrutura C2 única para cada vítima para dificultar correlação e atribuição. A técnica de comunicação bidirecional via web service ([[t1102-002-bidirectional-communication|T1102.002]]) e assinatura de serviço Twitter permitia ao grupo enviar comandos através de canais aparentemente legítimos. A Operation Ghost demonstrou a capacidade do APT29 de permanecer ativo por anos em redes de alto valor sem detecção, adaptando seus malwares e infraestrutura conforme necessário. A ESET identificou a campanha ao analisar amostras de malware e infraestrutura que persistiram muito além do que seria esperado de um ator de menor sofisticação. ## Impacto A campanha comprometeu comúnicações e dados diplomáticos de ministérios de relações exteriores europeus durante mais de seis anos, fornecendo ao SVR russo inteligência estratégica sobre posições diplomáticas, negociações e comúnicações sensíveis da União Europeia. O alcance do dano é difícil de quantificar dado o longo período de acesso, mas a coleta de inteligência diplomática representa um dos recursos mais valiosos para um serviço de inteligência estrangeiro. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] opera globalmente com foco em alvos de alto valor diplomático e governamental. O Brasil, como membro do BRICS e ator diplomático global, é um alvo potencial para operações de coleta de inteligência do SVR. Ministérios brasileiros de Relações Exteriores, Defesa e órgãos de inteligência devem considerar as técnicas de C2 via redes sociais e esteganografia documentadas na Operation Ghost ao avaliar suas defesas contra espionagem digital de nível estado-nação. ## Atores Envolvidos - [[g0016-apt29|APT29]] ## Técnicas Utilizadas - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1001-002-steganography|T1001.002 - Steganography]] - [[t1583-001-domains|T1583.001 - Domains]] - [[t1587-001-malware|T1587.001 - Malware]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] - [[t1585-001-social-media-accounts|T1585.001 - Social Media Accounts]] - [[t1027-003-steganography|T1027.003 - Steganography]] ## Software Utilizado - [[s0512-fatduke|FatDuke]] - [[s0051-miniduke|MiniDuke]] - [[s0511-regduke|RegDuke]] - [[s0518-polyglotduke|PolyglotDuke]] - [[psexec|PsExec]] --- --- *Fonte: [MITRE ATT&CK - C0023](https://attack.mitre.org/campaigns/C0023)* *Fonte: ESET - "Operation Ghost: The Dukes aren't back - they never left" (Outubro 2019)*