# SPACESHIP > [!medium] Componente APT30 para exfiltração via USB em redes air-gap - parte do trio SHIPSHAPE/SPACESHIP/FLASHFLOOD ativo desde 2005 > SPACESHIP é um componente do arsenal do **APT30** (nexo chinês) projetado específicamente para cruzar redes air-gap usando dispositivos USB como vetor de exfiltração. Descoberto pelo FireEye em 2015 após uma década de operações indetectadas contra governos e empresas no Sudeste Asiático e Índia. ## Visão Geral SPACESHIP (MITRE S0035) é um componente especializado de exfiltração desenvolvido pelo [[g0013-apt30|APT30]], grupo de espionagem cibernética com nexo chinês ativo desde pelo menos 2005 e descoberto públicamente pelo FireEye em um relatório de 69 páginas em abril de 2015. O APT30 foi, à época, considerado o primeiro grupo APT documentado com capacidade de infiltrar redes air-gap - uma consideração que o grupo teria incorporado desde o início de seu desenvolvimento em 2005, significativamente antes de outros grupos avançados. O SPACESHIP é parte de um ecossistema de três ferramentas - SHIPSHAPE, SPACESHIP e FLASHFLOOD - projetadas para trabalhar em conjunto. O SHIPSHAPE é responsável por copiar o SPACESHIP para um dispositivo removível (modificando configurações do host para ocultar extensões de arquivo). O SPACESHIP, uma vez em execução no sistema air-gap, identifica arquivos de interesse por extensão e data de modificação, comprime os dados com zlib e aplica rotação de bytes + XOR (0x23) para ofuscação ([[t1560-003-archive-via-custom-method|T1560.003]]), e então exfiltra para o dispositivo USB quando conectado ([[t1052-001-exfiltration-over-usb|T1052.001]]). O FLASHFLOOD finaliza o ciclo extraindo os dados do USB quando reconectado ao sistema conectado à internet. O [[g0013-apt30|APT30]] demonstrou disciplina operacional excepcional ao manter TTPs, ferramentas e infraestrutura práticamente inalteradas por uma década - o que, paradoxalmente, também facilitou sua eventual detecção. O grupo implementou controle de versão nos malwares (incluindo atualizações automáticas), uso de mutexes para garantir uma única instância em execução, e autenticação por número de série do disco. Seus alvos primários eram governos de países do Sudeste Asiático (Malásia, Vietnã, Tailândia, Filipinas, Indonésia), India, e organizações jornalísticas cobrindo tópicos sensíveis ao Partido Comunista Chinês. A missão do APT30 era primariamente política: coletar inteligência sobre disputas territoriais regionais, relações diplomáticas ASEAN, questões militares e econômicas da Ásia-Pacífico - alinhadas aos interesses de inteligência do governo chinês, segundo avaliação do FireEye. ## Como Funciona ```mermaid graph TB A["🎯 Sistema conectado<br/>Alvo inicial via phishing"] --> B["📦 BACKSPACE backdoor<br/>Acesso persistente + C2"] B --> C["💾 SHIPSHAPE implantado<br/>Prepara USB como vetor"] C --> D["🔌 USB inserido<br/>SPACESHIP copiado para drive"] D --> E["🏭 Sistema air-gap<br/>USB transferido fisicamente"] E --> F["🔍 File Discovery<br/>Busca por extensoes alvo"] F --> G["📦 Staging local<br/>Compressao zlib + XOR 0x23"] G --> H["🔌 USB reconectado<br/>Dados exfiltrados para drive"] H --> I["🌐 FLASHFLOOD extrai<br/>Upload para C2 na internet"] ``` ## Análise Técnica **Mecanismo de compressão e ofuscação:** - Arquivos coletados são comprimidos com **zlib** - Bytes são rotacionados 4 posições e aplicado **XOR com 0x23** - Técnica custom que não usa formatos padrão de arquivo - evita detecção por assinatura de ZIP/RAR **Identificação de arquivos alvos:** - Busca por extensões específicas configuradas pelo operador - Filtragem por data de modificação para coletar arquivos recentes - Estagia dados em diretório oculto no perfil do usuário ([[t1074-001-local-data-staging\|T1074.001]]) **Persistência:** - Registry Run Keys em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1547-001-registry-run-keys-startup-folder\|T1547.001]]) - Modificação de atalhos `.lnk` para execução quando drive USB é aberto ([[t1547-009-shortcut-modification\|T1547.009]]) **Controle de versão integrado:** O APT30 implementou verificação automática de versão em todos os seus malwares. Se SPACESHIP detecta que sua versão difere da versão de referência (obtida do C2 via sistema air-gap quando possível), tenta atualizar automaticamente. ## Ecossistema APT30 ```mermaid graph TB A["APT30 - ativo desde 2005"] --> B["Backdoors primarios"] A --> C["Ferramentas air-gap"] A --> D["Ferramentas auxiliares"] B --> E["BACKSPACE ZJ / ZR variants"] B --> F["NETEAGLE Scout / Norton variants"] C --> G["SHIPSHAPE - arma USB"] C --> H["SPACESHIP - propaga via USB"] C --> I["FLASHFLOOD - extrai do USB"] D --> J["MILKMAID / ORANGEADE Droppers"] D --> K["CREAMSICLE / GEMCUTTER Downloaders"] ``` ## Detecção e Defesa **Detecção de exfiltração via USB:** - **Sysmon Event ID 6** (Driver Load) + **Event ID 11** (File Create): processo suspeito criando arquivos em dispositivo removível recém-inserido - Monitorar criação de arquivos com compressão custom (sem magic bytes ZIP/RAR/7z) em drives removíveis - **Windows Event ID 4663** (Object Access): acesso a arquivos em diretório de staging por processo não-usuário **Controles preventivos:** - [[m1042-disable-or-remove-feature-or-program|M1042]]: Desabilitar AutoRun e restringir dispositivos USB por política de grupo (GPO) - [[m1034-limit-hardware-installation|M1034]]: Controle de hardware USB via endpoint management (BitLocker To Go, DLP) - [[m1057-data-loss-prevention|M1057]]: DLP com detecção de cópia de arquivos sensíveis para dispositivos removíveis - Segmentar redes air-gap com controle rigoroso de transferência de mídia removível **Monitoramento de atividade APT30:** - Regras YARA públicadas pelo FireEye (2015) cobrem BACKSPACE, NETEAGLE, SHIPSHAPE e SPACESHIP - Hashes e IoCs disponíveis no GitHub do FireEye (liberados com o relatório de 2015) ## Relevância LATAM/Brasil O [[g0013-apt30|APT30]] focou primariamente no Sudeste Asiático e Índia, com baixa relevância direta para o Brasil. No entanto, o modelo técnico do SPACESHIP - exfiltração via USB em redes air-gap - é altamente relevante para o Brasil por dois motivos: (1) **ICS/OT e infraestrutura crítica** - plantas industriais, redes elétricas e sistemas de controle de Petrobras, Itaipu e outras infraestruturas críticas brasileiras frequentemente operam em redes air-gap; (2) **Órgãos governamentais** - sistemas classificados de defesa (ABIN, GSI, Ministério da Defesa) podem ser alvos de técnicas similares por grupos com capacidade de air-gap crossing. O estudo do SPACESHIP estabelece a base técnica para defenders brasileiros em ambientes OT/ICS defenderem contra este vetor de ataque. ## Referências - [MITRE ATT&CK - S0035](https://attack.mitre.org/software/S0035) - [FireEye - APT30 and the Mechanics of a Long-Running Cyber Espionage Operation (PDF)](https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2015/05/20081935/rpt-apt30.pdf) - 2015 - [SecurityWeek - FireEye Uncovers Decade-Long Cyber Espionage Campaign](https://www.securityweek.com/fireeye-uncovers-decade-long-cyber-espionage-campaign-targeting-south-east-asia/) - 2015 - [ESET - Jumping the Air Gap: 15 Years of Nation-State Effort](https://web-assets.esetstatic.com/wls/en/papers/white-papers/eset_jumping_the_air_gap_wp.pdf) - 2020