operation-smn - RunkIntel

# Operation SMN > [!warning] Campanha Global de Espionagem - Axiom / Group 72 > **Operation SMN** (Suxnet, Mandiant, Novetta) foi uma campanha de espionagem cibernética massiva conduzida pelo grupo chinês [[g0001-axiom]] (também rastreado como Group 72) ao longo de pelo menos 5 anos, resultando no comprometimento de mais de **43.000 sistemas** em dezenas de países. A operação foi exposta em 2014 por uma coalizão sem precedentes de empresas de segurança liderada pela Novetta Solutions. ## Visão Geral A Operation SMN recebeu esse nome em referência às três organizações que lideraram sua investigação pública: **S**ymantec, **M**andiant e **N**ovetta. Em outubro de 2014, a Novetta Solutions coordenou a públicação simultânea de relatórios técnicos por pelo menos 10 empresas de segurança - incluindo Cisco, FireEye, iSIGHT Partners, Microsoft, Symantec, ThreatConnect e Volexity - em uma das maiores operações coordenadas de exposição de ameaça da história do setor. O grupo [[g0001-axiom]], atribuído com alta confiança ao Ministério de Segurança do Estado (MSS) da China, operou por pelo menos 5 anos (2009-2014) comprometendo organizações em setores de alto valor estratégico: [[government|governo]], [[defense|defesa]], indústria aeroespacial, energia e [[technology|tecnologia]]. A escala da campanha foi assombrosa: mais de **43.000 sistemas** identificados como comprometidos, com vítimas em dezenas de países. O [[g0001-axiom]] demonstrou capacidade técnica avançada, utilizando múltiplas ferramentas customizadas incluindo o [[s0009-hikit]] - um rootkit de modo kernel altamente evasivo - além de variantes modificadas do [[gh0st-rat]] e o [[zoxpng]]. O grupo operava com infraestrutura C2 em camadas, usando proxies e servidores intermediários para dificultar o rastreamento até a infraestrutura controlada pela China. A resposta coordenada em 2014 foi notável: a coalizão Novetta conseguiu identificar e derrubar partes significativas da infraestrutura C2 do grupo simultaneamente à públicação dos relatórios técnicos. Isso forçou o [[g0001-axiom]] a reconstruir sua infraestrutura e modificar suas ferramentas, interrompendo temporariamente as operações. ## Attack Flow ```mermaid graph TB A["Acesso Inicial Spear-phishing ou exploit de aplicações públicas"] --> B["Implantação de RAT Gh0st RAT ou ZoxPNG para acesso inicial"] B --> C["Escalada de Privilégios Dump de credenciais de contas administrativas"] C --> D["Persistência Avançada HIKIT rootkit em modo kernel sobrevive a reinicialização"] D --> E["Reconhecimento Extensivo Mapeamento completo da rede comprometida"] E --> F["Movimento Lateral Credenciais válidas via RDP e SMB"] F --> G["Exfiltração em Escala Dados estratégicos via infraestrutura C2 em camadas"] ``` > **Ator:** [[g0001-axiom]] (Group 72) | **Escala:** 43.000+ sistemas | **Período:** 2009-2014 ## Linha do Tempo ```mermaid timeline title Operation SMN - Linha do Tempo 2009 : Início estimado das operações do Axiom/Group 72 2011 : Comprometimento de alvos high-profile nos EUA e Europa documentado 2012 : Expansão significativa - dezenas de organizações simultâneas 2014-10 : Novetta coordena coalizão de 10+ empresas de segurança 2014-10 : Publicação simultânea de relatórios - infraestrutura C2 derrubada 2014-12 : Axiom reconfigura infraestrutura e evolui ferramentas ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Spear-phishing com Anexo | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos enviados a alvos estratégicos | | Exploit de Aplicações Públicas | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de vulnerabilidades em servidores web e VPNs | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas para acesso persistente | | Dump de Credenciais | [[t1003-os-credential-dumping\|T1003]] | Extração de hashes NTLM e credenciais de memória | | Exfiltração via C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dados via canal C2 em múltiplas camadas | | Proxy | [[t1090-proxy\|T1090]] | Infraestrutura C2 roteada via servidores intermediários | ## Arsenal Técnico **HIKIT:** Rootkit de modo kernel desenvolvido pelo [[g0001-axiom]] para persistência de longo prazo. Extremamente difícil de detectar e remover - sobrevive a reinicializações e se oculta de ferramentas de monitoramento convencionais. Considerado uma das ferramentas mais sofisticadas documentadas públicamente até 2014. **ZoxPNG / Gh0st RAT:** O [[g0001-axiom]] usava variantes altamente modificadas do [[gh0st-rat]] com comunicação C2 ofuscada. O ZoxPNG foi identificado como variante exclusiva do grupo. **Infraestrutura em camadas:** C2 com múltiplos saltos via servidores proxy em diferentes países, dificultando rastreamento e atribuição. Técnica típica de operações de inteligência estatal de nível elevado. ## Vítimas e Impacto A Operation SMN comprometeu mais de 43.000 sistemas em dezenas de países. Os setores mais afetados incluíam: - **Governo e defesa**: Agências governamentais dos EUA e Europa com acesso a políticas estratégicas - **Indústria aeroespacial**: Empresas do setor com propriedade intelectual de tecnologia avançada - **Energia**: Operadoras de infraestrutura crítica de energia nos EUA e Europa - **Tecnologia**: Empresas de TI com acesso a dados de clientes estratégicos - **Pesquisa e academia**: Universidades e institutos com pesquisa de uso dual (civil/militar) O impacto estratégico foi significativo: anos de espionagem sistemática permitiram ao [[g0001-axiom]] coletar inteligência sobre políticas governamentais, capacidades militares e propriedade intelectual de alto valor econômico e estratégico. ## Relevância LATAM e Brasil A Operation SMN não teve alvos confirmados no Brasil ou LATAM, mas é relevante por: - **Modelo de coalizão defensiva**: A resposta coordenada da Novetta em 2014 é referência para como o setor de segurança pode coordenar divulgações de ameaças. Iniciativas similares de compartilhamento de inteligência são relevantes para o ecossistema de segurança brasileiro - **Rootkit de modo kernel**: O HIKIT demonstrou que ameaças persistentes avançadas podem sobreviver a todos os controles de segurança convencionais. Organizações brasileiras em setores estratégicos (energia, defesa, [[government|governo]]) devem considerar essa capacidade em sua modelagem de ameaças - **Escala das operações chinesas**: A Operation SMN, junto com a Operation Cloud Hopper, documenta a escala e ambição das operações de espionagem patrocinadas pela China - padrão que continua ativo e pode incluir alvos brasileiros em setores de interesse estratégico como mineração, energia e telecom ## Detecção e Defesa **Controles recomendados:** - Monitorar atividade de contas privilegiadas via [[m1026-privileged-account-management|M1026]] - o uso de credenciais válidas é característica central do Axiom - Implementar EDR com detecção comportamental para rootkits de modo kernel - Aplicar [[m1032-multi-factor-authentication|M1032]] - MFA em todos os acessos privilegiados para mitigar uso de credenciais roubadas - Segmentar redes para limitar movimentação lateral mesmo com credenciais válidas **Indicadores comportamentais:** - Atividade de contas privilegiadas fora do horário normal ou de localizações inesperadas - Processos em modo kernel não associados a drivers assinados e verificados - Padrões de acesso a dados incomuns - múltiplos sistemas acessados em sequência rápida - Conexões de saída para múltiplos proxies intermediários antes do destino final **Monitorar via:** - [[ds-0028-logon-session|DS-0028]] - Logon Session: acessos privilegiados anômalos - [[ds-0009-process|DS-0009]] - Process Creation: processos de sistema com comportamento anômalo ## Referências - [1](https://www.novetta.com/2014/10/operation-smn-axiom-threat-actor-group-report/) Novetta Solutions - Operation SMN: Axiom Threat Actor Group Report (2014) - [2](https://attack.mitre.org/groups/G0001/) MITRE ATT&CK - Axiom Group Profile (G0001) - [3](https://www.symantec.com/connect/blogs/axiom-group-threat-actor-report) Symantec - Axiom Group: Advanced Chinese APT (2014) - [4](https://www.fireeye.com/blog/threat-research/2014/11/operation_doubletap.html) FireEye - Operation Double Tap (relacionado ao Axiom, 2014) - [5](https://www.cisco.com/c/en/us/about/security-center/axiom.html) Cisco Talos - Axiom Group Technical Analysis (2014)