operation-nitro - RunkIntel

# Operation Nitro > [!high] Espionagem industrial contra o setor quimico - 48 empresas em 20 paises comprometidas > Entre julho e setembro de 2011, um grupo de ameaça com nexo chines conduziu uma campanha sistematica de espionagem industrial contra empresas dos setores quimico e de defesa, visando roubar formulas proprietarias, documentos de design e processos de fabricacao. A Symantec denominou a campanha Operation Nitro em relatorio públicado em outubro de 2011. ## Visão Geral A Operation Nitro representa um dos primeiros casos documentados de espionagem cibernetica direcionada específicamente ao setor quimico global. A campanha, atribuida ao grupo [[covert-grove]] com indicadores apontando para a provincia de Hebei, China, visava roubar propriedade intelectual de alto valor: formulas quimicas exclusivas, documentos de design de produtos e descricoes de processos de fabricacao que levariam decadas para desenvolver organicamente. O que distinguiu a Operation Nitro de campanhas contemporaneas foi a precisao dos alvos e a consistencia operacional. Em vez de pulverizar ataques oportunistas, os atacantes identificaram cuidadosamente 48 empresas em pelo menos 20 paises - especialmente empresas quimicas de grande porte nos EUA, Europa e Asia - e conduziram campanhas de spear phishing altamente direcionadas contra funcionarios com acesso a documentos tecnico-proprietarios. O malware de escolha foi o [[s0012-poisonivy]], um RAT (Remote Access Trojan) de uso difundido entre grupos de APT chineses da epoca, configurado com servidores de comando e controle controlados pelos atacantes. Apesar da relativa simplicidade técnica do [[s0012-poisonivy]], a eficacia da campanha derivou do refinamento do vetor de acesso inicial e da selecao precisa dos alvos. Para o setor quimico e de defesa no Brasil - onde empresas como Braskem, Petrobras Quimica e industrias de defesa nacionais detêm processos proprietarios de alto valor - o padrao de ataque da Operation Nitro permanece relevante como modelo de espionagem industrial direcionada a ativos de PI estratégicos. ## Como a Campanha Funcionou ```mermaid graph TB A["Reconhecimento Identificação de alvos no setor quimico via LinkedIn e fontes abertas"] --> B["Spear phishing E-mails com PDF/Word malicioso Iscas tematicas relevantes ao setor"] B --> C["Exploração do cliente CVE em Adobe Reader ou Office Execução automatica ao abrir doc"] C --> D["Dropper instala PoisonIvy RAT configurado com C2 em hxxp://c2[.]covertgrove[.]net"] D --> E["Persistência estabelecida Chave Run no registro Processo disfarado de svchost"] E --> F["Reconhecimento interno Enumeracao de arquivos e diretorios Localização de docs tecnicos proprietarios"] F --> G["Exfiltração seletiva Formulas quimicas, processos de fab. Documentos de design e R&D"] G --> H["48 empresas comprometidas 20+ paises afetados Setor quimico e defesa"] ``` **Isca de spear phishing:** Os e-mails de phishing usavam assuntos relacionados a convites para reunioes, atualizacoes de contratos ou documentos de segurança quimica - conteudo plausivel para funcionarios do setor. Os anexos maliciosos exploravam vulnerabilidades conhecidas em Adobe Reader e Microsoft Office, executando o dropper do [[s0012-poisonivy]] de forma silenciosa. **Perfil dos alvos:** A selecao de alvos demonstrou inteligência previa sobre as organizacoes: os atacantes focaram em funcionarios de P&D, engenharia quimica e gerenciamento de propriedade intelectual - exatamente quem teria acesso aos documentos mais valiosos. ## Capacidades do PoisonIvy RAT O [[s0012-poisonivy]] era um RAT amadurecido e amplamente utilizado por grupos APT chine ses na epoca: | Capacidade | Detalhe | |---|---| | Acesso remoto | Shell interativo completo via C2 cifrado | | Transferencia de arquivos | Upload e download de arquivos arbitrarios | | Keylogging | Captura de teclado em tempo real | | Captura de tela | Screenshots sob demanda | | Webcam/microfone | Acesso a perifericos de audio e video | | Dump de senhas | Extração de credenciais armazenadas | | Propagação em rede | Varredura e movimento lateral básico | **Configuração técnica observada:** - Protocolo C2 proprio com cifragem RC4 - Mutex único para evitar múltiplas instancias - Persistência via `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` - Comúnicação em portas nao padrao para evadir firewalls ## TTPs Mapeadas ```mermaid graph LR IA["Initial Access T1566 Phishing"] --> EX["Execution T1204 User Execution"] EX --> PE["Persistence T1547 Registry Run Keys"] PE --> DE["Defense Evasion T1027 Obfuscation"] DE --> C2["Command Control T1095 Non-App Layer"] C2 --> COL["Collection T1005 Local Data"] COL --> EXF["Exfiltration T1041 Over C2"] ``` | Fase | Técnica MITRE | Detalhe | |---|---|---| | Initial Access | T1566.001 - Spear Phishing Attachment | PDFs e documentos Word com exploits | | Execution | T1204.002 - User Execution | Abertura do documento desencadeia dropper | | Persistence | T1547.001 - Registry Run Keys | Chave Run para inicializacao automatica | | Defense Evasion | T1027 - Obfuscated Files | Payload PoisonIvy ofuscado para evadir AV | | C2 | T1095 - Non-Application Layer Protocol | Protocolo proprio com RC4 | | Collection | T1005 - Data from Local System | Exfiltração de docs tecnicos proprietarios | | Exfiltration | T1041 - Exfiltration Over C2 | Transferencia de arquivos via canal C2 | ## Impacto e Escopo A Symantec identificou 48 empresas comprometidas em ao menos 20 paises ao longo dos tres meses de campanha ativa. O perfil dos alvos incluia: - **Empresas Fortune 500** no setor quimico - **Fabricantes de defesa** com divisoes quimicas - **Empresas de pesquisa** desenvolvendo novos materiais - **Subcontratados** com acesso a sistemas de clientes maiores O dado mais significativo: a maioria das empresas afetadas estava no setor de quimica avancada - materiais usados em produtos de defesa, farmaceuticos e manufatura de alta tecnologia. O roubo bem-sucedido de formulas proprietarias poderia conferir vantagem competitiva ou tecnológica estratégica ao estado patrocinador. ## Atribuicao A Symantec atribuiu a campanha a um individuo (ou grupo pequeno) operando a partir de Hebei, China, referênciado como [[covert-grove]]. Indicadores incluiam: - Servidores C2 registrados com dados apontando para a China - Uso de ferramentas e técnicas consistentes com grupos APT chine ses da epoca - Padrao de alvos alinhado com prioridades de inteligência industrial chinesas - Horario de operação compativel com fuso horario da China continental ## Detecao e Defesa **Para o setor quimico e industrial:** 1. **Controle de acesso a documentos tecnicos** - Classificação de PI com auditoria de acesso; sistemas DLP para prevenir exfiltração de formulas e processos 2. **Sandboxing de anexos** - Todo documento externo deve ser detonado em sandbox antes da entrega ao usuario 3. **Detecao de PoisonIvy** - Monitorar handshake RC4 caracteristico, mutex único e padroes de conexão C2 em portas nao padrao 4. **Patch management rigoroso** - Adobe Reader e Microsoft Office devem ser atualizados imediatamente; estes vetores foram primarios na campanha 5. **Monitoramento de acesso a arquivos** - Alertas para acesso em massa a documentos em pastas de R&D ou engenharia 6. **Segmentacao de rede** - Sistemas de R&D em VLAN isolada, sem acesso direto a internet **Indicadores historicos:** > [!ioc]- IOCs - Operation Nitro (TLP:GREEN) > **Dominios C2 (historicos - defanged):** > `home[.]adobeupdate[.]net` > `update[.]firefoxupdate[.]net` > > **Mutex do PoisonIvy:** > `()).,]Q'x~xNt2Y` > > **Chave de registro de persistência:** > `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` - valor apontando para `%TEMP%\` > > **Porta C2 comum:** > TCP/8080 (customizavel no builder do PoisonIvy) > > **Fontes:** [Symantec W32.PoisonIvy Report](https://www.symantec.com) - [MITRE ATT&CK G0031](https://attack.mitre.org/groups/G0031/) ## Referências - [1](https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/the-nitro-attacks-stealing-secrets-from-the-chemical-industry-en.pdf) Symantec - The Nitro Attacks: Stealing Secrets from the Chemical Industry (2011) - [2](https://attack.mitre.org/groups/G0031/) MITRE ATT&CK - Threat Group-3390 / Operation Nitro Group Profile (2023) - [3](https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/poisonivy) Trend Micro - PoisonIvy RAT Technical Analysis (2012) - [4](https://www.fireeye.com/blog/threat-research/2014/02/xtremerat-nuisance-or-threat.html) FireEye - PoisonIvy: Assessing Damage and Extracting Intelligence (2013) - [5](https://therecord.media/china-linked-espionage-chemical-sector) The Record - China-linked Espionage Targeting Chemical Industry Overview (2022)