# Operation Skeleton Key > [!warning] Campanha de Espionagem Industrial - Chimera Contra Semicondutores em Taiwan > **Operation Skeleton Key** foi uma campanha de espionagem industrial conduzida pelo grupo [[g0114-chimera]] contra empresas do setor de semicondutores em Taiwan entre 2018 e 2019. A operação focou em roubo de propriedade intelectual crítica - designs de chips e tecnologias de fabricação - utilizando a ferramenta **SkeletonKeyInjector** para persistência via manipulação de autenticação do Active Directory. ## Visão Geral A Operation Skeleton Key foi documentada pela CyCraft Technology em 2020 como parte de uma análise ampla das operações do grupo [[g0114-chimera]] contra o setor de semicondutores taiwanês. O [[g0114-chimera]] é um grupo de atribuição atribuída à China (embora com baixa a moderada confiança pública), identificado como ator de espionagem industrial com foco exclusivo em propriedade intelectual de alto valor tecnológico. O setor de semicondutores taiwanês é estratégico em escala global: empresas como TSMC, UMC, MediaTek e outras concentram uma parcela significativa da fabricação global de chips avançados. A propriedade intelectual desse setor - designs de circuitos, processos de fabricação, tecnologias de litografia - representa bilhões de dólares em investimento em P&D e vantagem competitiva estratégica para quem a obtiver. A campanha utilizou o **SkeletonKeyInjector** como ferramenta central de persistência - uma técnica sofisticada que injeta uma "master password" no processo lsass.exe do controlador de domínio Active Directory, permitindo autenticação com qualquer conta usando a senha mestre injetada, independentemente da senha real. Isso oferecia acesso silencioso e persistente com qualquer nível de privilégio na rede comprometida. O [[g0114-chimera]] combinou ferramentas customizadas com ferramentas amplamente disponíveis como [[s0154-cobalt-strike]] e [[mimikatz]], uma característica que dificulta a atribuição mas é consistente com atores patrocinados por estado que priorizam a negação plausível. O grupo demonstrou disciplina operacional elevada: permaneceu não detectado por mais de um ano em algumas das organizações comprometidas. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Spear-phishing ou<br/>password spraying VPN/RDP"] --> B["Cobalt Strike Implantado<br/>Beacon para acesso<br/>e movimentação inicial"] B --> C["Dump de Credenciais<br/>Mimikatz para extração<br/>de hashes NTLM"] C --> D["SkeletonKeyInjector<br/>Injeção no LSASS do DC<br/>master password em AD"] D --> E["Acesso Universal<br/>Qualquer conta com<br/>master password injetada"] E --> F["Exfiltração de IP<br/>Designs de chips<br/>processos de fabricação"] ``` > **Ator:** [[g0114-chimera]] | **Alvo:** Semicondutores Taiwan | **Período:** 2018-2019 ## Linha do Tempo ```mermaid timeline title Operation Skeleton Key - Linha do Tempo 2018 : Início das intrusões no setor de semicondutores de Taiwan 2018-06 : SkeletonKeyInjector implantado em controladores de domínio de alvos prioritários 2019 : Exfiltração sistemática de propriedade intelectual de design de chips 2019-12 : Última atividade documentada da campanha 2020-08 : CyCraft publica análise completa da Operation Skeleton Key ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos com tema de tecnologia de semicondutores | | Dump de Credenciais | [[t1003-os-credential-dumping\|T1003]] | Mimikatz para extração de credenciais e hashes NTLM | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para acesso persistente e lateral | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Movimentação lateral via RDP com credenciais comprometidas | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Propriedade intelectual exfiltrada via Cobalt Strike beacon | | Password Spraying | [[t1110-003-password-spraying\|T1110.003]] | Ataques contra VPNs e portais de acesso remoto expostos | ## Sobre o SkeletonKeyInjector O SkeletonKeyInjector é uma ferramenta desenvolvida pelo [[g0114-chimera]] que implementa o ataque "Skeleton Key" contra o Active Directory: - **Mecanismo**: Injeta código no processo lsass.exe do controlador de domínio - **Efeito**: Adiciona uma "master password" alternativa que funciona para **qualquer conta** do domínio sem alterar as senhas reais - **Persistência**: O efeito persiste até o controlador de domínio ser reiniciado (sem reinicialização, permanece indefinidamente) - **Detecção difícil**: Não modifica objetos do AD visíveis via ferramentas de auditoria padrão - **Vantagem**: Permite movimento lateral com qualquer identidade sem alertas de senhas incorretas A técnica Skeleton Key não é nova (documentada desde 2015 pela Dell SecureWorks), mas o SkeletonKeyInjector representa uma implementação customizada pelo [[g0114-chimera]] com aprimoramentos específicos para evasão. ## Vítimas e Impacto **Organizações comprometidas:** - Múltiplas empresas do setor de semicondutores em Taiwan (nomes não divulgados públicamente) - Fornecedores e parceiros na cadeia de suprimentos dessas empresas - Estimativa: 7 ou mais organizações comprometidas simultaneamente **Propriedade intelectual comprometida:** - Designs de circuitos integrados avançados - Processos e receitas de fabricação de chips - Roadmaps tecnológicos confidenciais - Dados de clientes e pedidos de fabricação **Impacto estratégico:** - Roubo de anos de investimento em P&D em tecnologia de semicondutores - Potencial para replicação de tecnologias de fabricação avançadas - Impacto à competitividade global do setor de semicondutores taiwanês ## Relevância LATAM e Brasil A Operation Skeleton Key não teve impacto direto no Brasil ou LATAM, mas apresenta lições relevantes: - **Cadeia de suprimentos de semicondutores**: O Brasil é um consumidor significativo de chips e eletrônicos, com empresas como Positivo, Intelbras e o setor automotivo dependentes de semiconductores. Empresas brasileiras que são parceiras de fabricantes taiwaneses podem ter sido expostas como vetores de acesso - **Ataque Skeleton Key ao AD**: Esta técnica é eficaz contra qualquer infraestrutura Windows com Active Directory - presente em práticamente todas as empresas médias e grandes do Brasil. Equipes de [[defense|defesa]] brasileiras devem incluir detecção de modificações no lsass.exe e comportamentos anômalos de autenticação em seus playbooks - **[[s0154-cobalt-strike]] e [[mimikatz]] como indicadores**: Estas ferramentas são amplamente usadas por grupos que operam na LATAM. O padrão combinado de Cobalt Strike + Mimikatz + persistência via AD é um indicador de comprometimento de alta fidelidade ## Detecção e Defesa **Controles recomendados:** - Monitorar acessos ao processo lsass.exe via EDR - qualquer injeção de processo ou dump de memória deve gerar alerta - Implementar [[m1043-credential-access-protection|M1043]] - Credential Access Protection: proteger lsass.exe com PPL (Protected Process Light) - Aplicar [[m1032-multi-factor-authentication|M1032]] em todos os acessos VPN e RDP expostos à internet - Implementar [[m1026-privileged-account-management|M1026]] - revisar permissões de acesso a controladores de domínio regularmente **Detecção específica do Skeleton Key:** - Monitorar tentativas de autenticação bem-sucedidas com senhas que deveriam falhar - Alertar para injeções de código no processo lsass.exe (Event ID 10 do Sysmon: ProcessAccess) - Monitorar modificações de módulos carregados pelo lsass.exe - SIEM: correlacionar logins bem-sucedidos fora do horário normal com ausência de tentativas anteriores **Monitorar via:** - [[ds-0009-process|DS-0009]] - Process Creation: processos tentando acesso ao lsass.exe - [[ds-0028-logon-session|DS-0028]] - Logon Session: padrões de autenticação anômalos no AD ## Referências - [1](https://cycraft.com/download/CyCraft-Whitepaper-Chimera_TLP-White.pdf) CyCraft Technology - Operation Chimera: Skeleton Key (2020) - [2](https://attack.mitre.org/groups/G0114/) MITRE ATT&CK - Chimera Group Profile - [3](https://www.secureworks.com/blog/skeleton-key-malware-analysis) Dell SecureWorks - Skeleton Key Malware Analysis (2015) - [4](https://blogs.blackberry.com/en/2019/09/operation-ghost-lateralization-tactics) BlackBerry - Chimera: Lateralization Tactics in Semiconductor Targeting (2019) - [5](https://unit42.paloaltonetworks.com/atoms/chimera/) Unit 42 - Chimera: Financial and Semiconductor Targeting (2021)