operation-parliament

# Operation Parliament > [!high] Espionagem Contra Legislativos e Governos do Oriente Medio > A **Operation Parliament** foi uma campanha de ciberespionagem altamente direcionada atribuida ao **Gaza Cybergang Group 3**, visando parlamentares, autoridades governamentais de alto escalao e organizacoes de energia no Oriente Medio e norte da Africa entre 2017 e 2018. A operação comprometeu parlamentos, senados e escritorios presidenciais em múltiplos paises da regiao. ## Visão Geral A Operation Parliament foi identificada e atribuida pela Kaspersky Lab em 2018 como uma campanha de ciberespionagem sofisticada operada pelo [[g0040-gaza-cybergang]], específicamente pelo subgrupo denominado Group 3 - o mais técnicamente avancado da familia. Diferente de outras operações do Gaza Cybergang focadas em alvos palestinos e israelenses, a Operation Parliament demonstrou escopo regional ampliado, visando legislativos nacionais, presidencias e ministerios em pelo menos 12 paises do Oriente Medio e norte da Africa. A campanha se distinguiu pelo perfil extremamente seletivo dos alvos: parlamentares, presidentes de comites legislativos, ministros e executivos de empresas de energia. O método de infecção primario era spear-phishing altamente personalizado com documentos Microsoft Office contendo exploits, utilizando iscos politicos e diplomaticos relevantes para cada alvo específico. O malware principal empregado foi o [[downeks]] - um backdoor customizado atribuido exclusivamente ao Gaza Cybergang - junto com versoes customizadas do [[quasar-rat]]. O Downeks utiliza criptografia 3DES com chaves embutidas e comunicação via HTTP com codificacao Base64, tornando o trafego C2 dificil de distinguir de trafego web legitimo sem inspecao profunda de pacotes. O impacto geopolitico da operação foi significativo: o comprometimento de infraestrutura legislativa de múltiplos paises soberanos do Oriente Medio demonstrou a capacidade do Gaza Cybergang de conduzir operações de nivel estatal, levantando questoes sobre possível patrocinio estatal ou suporte externo ao grupo. ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento de Alvos Parlamentares e ministros Perfil publico OSINT"] --> B["📧 Spear-phishing Direcionado Documentos Office com iscos politicos e diplomaticos"] B --> C["💥 Execução de Exploit Vulnerabilidade Office User Execution T1204"] C --> D["💧 Dropper Downeks Backdoor customizado 3DES + Base64 C2"] D --> E["🔗 Estabelecimento C2 HTTP para servidor comprometido controlado"] E --> F["🔍 Reconhecimento Interno Enumeracao de redes e documentos sensiveis"] F --> G["📦 Coleta de Dados Documentos parlamentares Comúnicacoes diplomaticas"] G --> H["📤 Exfiltração Arquivos comprimidos via C2 HTTP/HTTPS"] ``` ### Arsenal de Malware ```mermaid graph TB A["Gaza Cybergang Group 3 Arsenal de Ferramentas"] --> B["Downeks Backdoor 3DES encryption HTTP C2 customizado"] A --> C["Quasar RAT Versao customizada Keylogging + screenshots"] A --> D["Dropper VBA Macro Office maliciosa T1059.005"] B --> E["Funcionalidades Downeks Upload/download files Execução de comandos Captura de tela"] C --> F["Funcionalidades Quasar Acesso remoto Exfiltração de arquivos Persistência registro"] ``` ## Cronologia | Data | Evento | |------|--------| | 2017-01 | Inicio estimado da campanha com primeiros comprometimentos identificados | | 2017-Q2 | Expansao para alvos em Arabia Saudita, Iraq e Jordania alem de Israel | | 2017-Q4 | Comprometimento de parlamentares e escritorios presidenciais confirmados | | 2018-02 | Kaspersky Lab identifica e nomeia a operação como "Operation Parliament" | | 2018-04 | Kaspersky pública análise técnica detalhada com IOCs e atribuicao ao Gaza Cybergang | | 2018-12 | Reducao significativa de atividade; operação considerada encerrada ou pausada | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spear-phishing com documentos Office e iscos politicos personalizados | | [[t1204-user-execution\|T1204]] | User Execution | Abertura de documentos Office com macros ou exploits embutidos | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | Execução de scripts VBA para dropar Downeks | | [[t1071-application-layer-protocol\|T1071]] | Application Layer Protocol | C2 via HTTP com codificacao Base64 e criptografia 3DES | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | Compressao de dados coletados antes de exfiltração | | [[t1547-boot-autostart\|T1547]] | Boot/Autostart | Persistência via registro Windows | | [[t1082-system-information-discovery\|T1082]] | System Info Discovery | Fingerprinting do sistema comprometido | ## Vitimas e Alvos A Operation Parliament visou exclusivamente alvos de alto valor no setor governamental e legislativo: - **Parlamentos e legislativos**: Assembleias legislativas nacionais em Israel, Jordania, Egito e outros paises MENA - **Presidencias e ministerios**: Escritorios presidenciais e ministerios de relacoes exteriores - **Empresas de energia**: Setor de energia critica na Arabia Saudita e paises do Golfo - **Organizacoes militares e de defesa**: Estruturas militares na regiao - **Embaixadas**: Representacoes diplomaticas de paises-alvo A Kaspersky estimou pelo menos 12 paises afetados, com foco primario na regiao do Oriente Medio e norte da Africa (MENA). ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo, dado o foco regional exclusivo na MENA. No entanto, a campanha apresenta relevância analitica: > [!latam] Contexto Brasil e LATAM > O modelo de comprometimento de **infraestrutura legislativa** e uma ameaça emergente para a regiao. Grupos como **Blind Eagle (APT-C-36)** - o mais ativo APT direcionado a LATAM - conduzem campanhas contra governos colombianos e equatorianos com TTPs similares. O **Gaza Cybergang** demonstrou que parlamentares e assessores sao alvos de alto valor com postura de segurança frequentemente deficiente. - A técnica de spear-phishing com iscos politicos contextualizados e amplamente usada contra legislativos brasileiros - O [[g0099-blind-eagle-apt-c-36]] (APT-C-36) utiliza modelo similar contra Congresso colombiano e ministerios da regiao - Organizacoes legislativas brasileiras devem considerar o comprometimento de parlamentares como vetor de risco primario ## Mitigação e Detecção - **Treinamento específico para funcionarios de alto escalao** sobre spear-phishing com iscos politicos - **Monitoramento de trafego HTTP/HTTPS com inspecao de conteudo** para detectar padroes Base64+3DES do Downeks - **Restricao de macros** em documentos Office para funcionarios de alto valor - **Autenticação multifator** para todos os acessos a sistemas legislativos criticos - **EDR com detecção comportamental** para identificar padroes de Quasar RAT e backdoors similares - Aplicar [[m1049-antivirus-endpoint-protection]] e [[m1031-network-intrusion-prevention]] ## Referências - [Kaspersky - Operation Parliament (Abr 2018)](https://securelist.com/operation-parliament-who-is-doing-what-to-whom-in-the-middle-east/85237/) - [MITRE ATT&CK - Gaza Cybergang](https://attack.mitre.org/groups/G0049/) - [Kaspersky - Gaza Cybergang Group 3 Analysis](https://securelist.com/gaza-cybergang-updated-2017-activity/)