# BACKSPACE Backdoor > [!medium] Backdoor central do APT30 em 10 anos de espionagem ASEAN > O **BACKSPACE** é o backdoor primário utilizado pelo **APT30** (também rastreado como Naikon e relacionado ao grupo espião chinês focado no Sudeste Asiático) em campanhas de espionagem documentadas desde 2005. Parte de um ecossistema de ferramentas modulares com capacidade de comprometer redes com air-gap via USB, o BACKSPACE sustentou uma das operações de espionagem mais longevas da história do ciberespionagem. ## Visão Geral O BACKSPACE é a ferramenta central de um arsenal extenso utilizado pelo [[g0013-apt30]], grupo de espionagem cibernética com foco no Sudeste Asiático documentado pelo FireEye (agora Mandiant) em 2015. A operação, revelada em um relatório abrangente intitulado "APT30 and the Mechanics of a Long-Running Cyber Espionage Operation", documentou uma das campanhas de espionagem mais longas já analisadas - ativa por pelo menos 10 anos ininterruptos. O BACKSPACE existe em duas variantes principais, denominadas ZJ (mais antiga) e ZR (versão atualizada), com suporte a comunicação em duas etapas que dificulta a atribuição e o bloqueio: o malware primeiramente comúnica-se com servidores de staging intermediários antes de alcançar o C2 real. Essa arquitetura de duas camadas garante que mesmo se o staging for comprometido ou bloqueado, os investigadores não tenham acesso à infraestrutura C2 principal. Uma das capacidades mais notáveis do ecosistema ao qual o BACKSPACE pertence é o targeting de redes com air-gap via USB. Ferramentas complementares do APT30 como SHIPSHAPE, SPACESHIP e FLASHFLOOD são específicamente projetadas para infiltrar redes isoladas através de drives USB compartilhados, uma técnica semelhante ao vetor usado pelo Stuxnet. Isso sugere que o APT30 tinha mandato específico para acessar redes governamentais com alta segurança. O foco geográfico do APT30 é primariamente o Sudeste Asiático e a Índia, com evidências de operações contra membros da ASEAN, reuniões ministeriais e comúnicações diplomáticas. Para o Brasil, a relevância é indireta mas presente: empresas com operações na Ásia-Pacífico e organizações diplomáticas que interagem com países da ASEAN podem ser alvos de operações de coleta de inteligência. > [!latam] Relevância para o Brasil > O **BACKSPACE/APT30** tem relevância para o Brasil principalmente pela capacidade de **comprometimento de redes air-gapped via USB** — técnica que representa risco para instalações militares, nucleares e industriais de alta segurança. Embora o foco histórico do APT30 seja o Sudeste Asiático, a **Embaixada e consulados brasileiros** em países da ASEAN e a **Itaipu Binacional** (que possui redes air-gapped) são exemplos de alvos potenciais. A persistência de 10+ anos do grupo sem detecção é um alerta para revisão de posturas de segurança em instalações críticas. ## Análise Técnica ### Ecossistema de Ferramentas APT30 ```mermaid graph TB A["📧 Spear-Phishing<br/>MINH / NETEAGLE droppers"] --> B["🔧 Estabelecimento de Foothold<br/>BACKSPACE ou SHIPSHAPE"] B --> C{"Tipo de Rede"} C --> D["🌐 Rede Conectada<br/>BACKSPACE direto para C2"] C --> E["🔒 Rede Air-Gapped<br/>Via USB - SHIPSHAPE/SPACESHIP"] D --> F["📊 Coleta de Intel<br/>Documentos, emails, credenciais"] E --> F F --> G["🗄️ Staging via FLASHFLOOD<br/>Dados em USB para exfiltração"] G --> H["🌐 Exfiltração via C2<br/>Dados saem pela rede conectada"] ``` ### Variantes do BACKSPACE | Variante | Características | Período | |----------|----------------|---------| | BACKSPACE ZJ | Versão original, C2 HTTP simples | 2005-2010 | | BACKSPACE ZR | Dois estágios, evasão aprimorada | 2010-presente | ### Arquitetura de C2 em Dois Estágios ```mermaid graph TB subgraph "Arquitetura C2 BACKSPACE ZR" A["🦠 BACKSPACE no Host<br/>Comprometido"] --> B["🔄 Servidor Staging<br/>Intermediário - tier 1"] B --> C["🎯 C2 Real<br/>Infraestrutura APT30"] A --> D["📦 Dados Coletados<br/>Encriptados e staged"] D --> B B --> C end ``` ### Targets Documentados O APT30 tem histórico de espionagem contra: - Governos membros da ASEAN - Reuniões de cúpula da ASEAN e regionais - Ministérios de Relações Exteriores - Jornalistas cobrindo China e ASEAN - Organizações de defesa na Índia e ASEAN ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | C2 via HTTP em dois estágios | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Payloads ofuscados | | Replication Through Removable Media | [[t1091-replication-through-removable-media\|T1091]] | Comprometimento via USB (air-gap) | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | | Windows Service | [[t1543-003-windows-service\|T1543.003]] | Persistência como serviço | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - BACKSPACE Backdoor (TLP:GREEN) > **Comportamento de processo:** > - Processos Windows com comunicação HTTP periódica para múltiplos servidores staging > - Serviços registrados com nomes similares a serviços legítimos mas com caminhos atípicos > > **Comportamento USB:** > - Criação de arquivos ocultos em drives USB conectados > - Leitura automática de conteúdo de drives USB por processos não esperados > > **Comportamento de rede:** > - Requisições HTTP com User-Agent incomum ou ausente > - Polling periódico para hosts externos não mapeados > > **Fontes:** [FireEye APT30 Report 2015](https://www.mandiant.com/resources/blog) · [MITRE APT30](https://attack.mitre.org/groups/G0013/) ### Mitigações 1. **Controle de USB**: Políticas que restrinjam o uso de drives USB não autorizados 2. **DLP para removíveis**: Monitoramento de dados copiados para drives USB 3. **Proxy com inspeção SSL**: Inspecionar tráfego HTTP/HTTPS para detectar beaconing do BACKSPACE 4. **Application control**: Whitelist de serviços Windows aprovados ## Referências - [FireEye - APT30 and the Mechanics of a Long-Running Cyber Espionage Operation (2015)](https://www.mandiant.com/resources/blog/apt30-and-the-mechanics-of-a-long-running-cyber-espionage-operation) - [MITRE ATT&CK - APT30 (G0013)](https://attack.mitre.org/groups/G0013/) - [BACKSPACE Malware Analysis - MITRE](https://attack.mitre.org/software/S0031/)