# T1565.002 - Transmitted Data Manipulation ## Descrição **Transmitted Data Manipulation** (Manipulação de Dados em Trânsito) é uma sub-técnica da família [[t1565-data-manipulation|T1565 - Data Manipulation]], classificada na tática de [[_impact|Impact]] do framework MITRE ATT&CK. Adversários exploram essa técnica para interceptar e alterar dados enquanto eles estão sendo transmitidos entre sistemas, redes ou processos - antes que cheguem ao destino legítimo. O objetivo central não é necessáriamente destruir os dados, mas **manipulá-los de forma cirúrgica** para afetar decisões de negócio, processos operacionais, resultados financeiros ou a percepção de segurança de uma organização. O receptor acredita estar recebendo informação legítima, quando na verdade está consumindo dados adulterados pelo adversário. Essa técnica é particularmente perigosa porque **viola a integridade** dos dados sem deixar evidências óbvias de destruição. Sistemas de monitoramento baseados em disponibilidade (uptime) raramente detectam esse vetor, pois os serviços permanecem operacionais. O dano se manifesta de forma sutil: transações financeiras com valores alterados, relatórios operacionais distorcidos, dados de telemetria industrial manipulados ou respostas de API falsificadas. No contexto de **infraestrutura financeira**, como bancos e processadoras de pagamento, a manipulação de dados transmitidos pode resultar em desvio de fundos, lavagem de dinheiro assistida por computador ou fraude em escala. O grupo [[g0082-apt38|APT38]], braço financeiro do estado norte-coreano operado pelo [[g0032-lazarus-group|Lazarus Group]], é o caso mais documentado de uso desta técnica em ataques ao sistema SWIFT (Society for Worldwide Interbank Financial Telecommúnication), causando prejuízos da ordem de centenas de milhões de dólares. A execução requer acesso privilegiado à rede ou aos processos de comunicação - sejá por um implante pré-posicionado, por um ataque [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]], ou por comprometimento de componentes de middleware. Ataques a sistemas ICS/SCADA utilizam esse vetor para falsificar leituras de sensores e comandos de controle, podendo causar danos físicos em infraestrutura crítica. **Técnica pai:** [[t1565-data-manipulation|T1565 - Data Manipulation]] --- ## Como Funciona A manipulação de dados em trânsito pode ocorrer em múltiplas camadas da pilha de comúnicação. O adversário precisa primeiramente obter uma posição privilegiada no caminho dos dados - sejá na rede, no sistema operacional ou na camada de aplicação. ### Vetores de Interceptação **1. Interceptação de Rede (Layer 3/4):** O adversário posiciona-se entre origem e destino usando [[t1557-adversary-in-the-middle|técnicas AiTM]]. Ferramentas como proxies transparentes ou modificações de roteamento (via BGP hijacking ou ARP spoofing) redirecionam o tráfego através do sistema do atacante. Uma vez no caminho, o payload é inspecionado e modificado antes de ser retransmitido. **2. Interceptação de Processo (Inter-Process Commúnication):** Em sistemas Windows e Linux, processos se comúnicam via pipes nomeados, sockets Unix, memória compartilhada ou filas de mensagens. Um implante com privilégios suficientes pode se inserir nesse fluxo - hooking de chamadas de sistema, injeção de DLL ou LD_PRELOAD - e modificar os dados antes que o processo receptor os consuma. **3. Manipulação de Middleware e APIs:** Sistemas corporativos frequentemente trafegam dados críticos através de middleware (ESB, message brokers como Kafka ou RabbitMQ). Comprometer um nó desse pipeline permite alterar mensagens em trânsito sem tocar nos endpoints originais. **4. Manipulação de Fluxos SWIFT/Financeiros:** No caso documentado do [[g0082-apt38|APT38]], o malware [[evtdiag|EVTDIAG]] e componentes associados modificavam mensagens SWIFT em trânsito dentro de sistemas bancários comprometidos, alterando números de conta de destino e valores de transferência, enquanto apagavam logs que registrariam as transações originais. **5. Adulteração de Dados OT/ICS:** Em ambientes industriais, dados de campo (leituras de sensores, estado de atuadores) são transmitidos via protocolos como Modbus, DNP3 ou OPC-UA. Adversários com acesso à rede OT podem injetar respostas falsas, fazendo o sistema de controle tomar decisões com base em dados incorretos. ### Técnicas Relacionadas Frequentemente combinada com: - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]]: posicionamento para interceptação - [[t1040-network-sniffing|T1040 - Network Sniffing]]: identificação dos fluxos a manipular - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]]: execução dos scripts de manipulação - [[t1070-indicator-removal|T1070 - Indicator Removal]]: apagar logs das transações originais --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>(T1190 / T1566)"] --> B["Estabelecer Persistência<br/>(T1547 / T1078)"] B --> C["Reconhecimento Interno<br/>Mapeamento de fluxos de dados críticos"] C --> D["Posicionamento no Caminho<br/>AiTM / Hook de Processo / Middleware"] D --> E["Intercepção dos Dados<br/>Monitorar e capturar tráfego alvo"] E --> F["Modificação do Payload<br/>Alterar valores, contas, comandos"] F --> G["Retransmissão para Destino<br/>Dados adulterados chegam ao receptor"] G --> H["Cobertura de Rastros<br/>Apagar logs das transações originais"] H --> I["Impacto<br/>Fraude financeira, decisão incorreta,<br/>dano operacional"] style A fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style F fill:#8e44ad,color:#fff style I fill:#2c3e50,color:#fff ``` --- ## Exemplos de Uso ### APT38 - Ataques SWIFT (2016–2018) O [[g0082-apt38|APT38]], vinculado ao governo da Coreia do Norte e associado ao [[g0032-lazarus-group|Lazarus Group]], executou uma série de ataques contra bancos globais que utilizam o sistema SWIFT. No ataque ao Banco Central de Bangladesh em 2016, os adversários comprometeram a rede interna do banco e instalaram malware que interceptava mensagens SWIFT antes que fossem enviadas. O software legítimo do SWIFT foi manipulado para ocultar as transações fraudulentas dos operadores humanos, enquanto as transferências de ~81 milhões de dólares eram executadas para contas na Filipinas e Sri Lanka. Ferramentas identificadas nos ataques incluem: - **EVTDIAG**: manipulava o log de eventos do Windows para apagar registros de transações - **MSOUTC**: interceptava e modificava mensagens SWIFT em trânsito - **NTWKSVC**: mantinha persistência e canal de C2 ### Manipulação de Dados ICS/SCADA Em contextos de infraestrutura crítica, há casos documentados (e teorizados em pesquisa acadêmica) de adversários manipulando dados de sensores transmitidos de PLCs para sistemas SCADA. Ao falsificar leituras "normais" enquanto o equipamento físico opera fora de parâmetros, o operador humano não recebe alertas e o dano se acumula silenciosamente até uma falha catastrófica. ### Ataques a Sistemas de Saúde Sistemas de registros médicos eletrônicos transmitem dados de pacientes entre módulos (farmácia, laboratório, UTI). A manipulação desses dados em trânsito poderia alterar dosagens de medicamentos ou resultados de exames - cenário que pesquisadores de segurança têm documentado como vetor de alto risco em hospitais com redes inadequadamente segmentadas. --- ## Detecção ### Estrategia Geral A detecção desta técnica requer controles em múltiplas camadas, pois a manipulação pode ocorrer em diferentes pontos do fluxo. Monitorar apenas endpoints é insuficiente - é necessário válidar a integridade dos dados em trânsito. **Abordagens recomendadas:** 1. **Assinaturas digitais em mensagens críticas**: sistemas financeiros e ICS devem assinar criptograficamente cada mensagem para detectar adulteração 2. **Comparação de hashes em checkpoints**: comparar checksums de dados em diferentes pontos do pipeline 3. **Monitoramento de IPC**: detectar hooks ou acessos anômalos a pipes e sockets entre processos críticos 4. **Análise de anomalias em fluxos de rede**: variações inesperadas no tamanho de pacotes ou timing podem indicar proxy transparente ### Regra de Detecção - Sigma ```yaml title: Manipulação de Processo SWIFT ou Mensagens Financeiras Críticas status: experimental logsource: category: process_access product: windows detection: selection: TargetImage|contains: - 'swift' - 'alliance' - 'payment' GrantedAccess|contains: - '0x1fffff' - '0x1f0fff' - '0x143a' filter_legitimate: SourceImage|startswith: - 'C:\Program Files\SWIFT' - 'C:\Windows\System32' condition: selection and not filter_legitimate level: critical tags: - attack.impact - attack.t1565.002 ``` ### Indicadores Comportamentais - Processos legítimos de middleware com DLLs não assinadas carregadas - Acesso a handles de outros processos (especialmente aplicações financeiras ou SCADA) por processos não autorizados - Discrepâncias entre logs de origem e destino em transações financeiras - Certificados TLS inválidos ou auto-assinados em comúnicações internas que normalmente usam PKI corporativa - Variações anômalas em campos numéricos de transações (valores, contas de destino) --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Cifrar dados em trânsito com TLS mútuo (mTLS) entre todos os componentes críticos. Para sistemas financeiros, implementar assinatura digital de mensagens (além da criptografia) para garantir integridade. | | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar micro-segmentação e listas de controle de acesso rigorosas para limitar quais hosts podem se comúnicar com sistemas de pagamento e middleware crítico. | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar redes de sistemas críticos (SWIFT, SCADA, sistemas bancários) em segmentos separados com controles de acesso estrito e monitoramento de saída/entrada. | | M1045 | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir assinatura de código para todos os executáveis e DLLs em sistemas críticos, especialmente middleware financeiro e software ICS. | --- ## Contexto Brasil/LATAM O Brasil é um dos países mais afetados por fraudes financeiras digitais na América Latina, e a manipulação de dados em trânsito representa um vetor crítico nesse cenário. ### Sistema Financeiro Brasileiro O **Sistema de Pagamentos Brasileiro (SPB)** e o **PIX** processam trilhões de reais em transações diariamente. A integração entre bancos, fintechs e o Banco Central via APIs cria múltiplos pontos potenciais de interceptação. Grupos como o [[g0046-fin7|FIN7]] e o [[g0032-lazarus-group|Lazarus Group]] demonstraram interesse histórico em sistemas bancários da região. O **FEBRABAN** (Federação Brasileira de Bancos) reporta que o Brasil sofre cerca de 2,5 bilhões de tentativas de fraude digital por ano, parte das quais envolve manipulação de dados em sistemas de transferência. A adoção do PIX criou novos vetores: trojans bancários brasileiros como [[s0531-grandoreiro|Grandoreiro]] e [[s0530-melcoz|Melcoz]] evoluíram para interceptar sessões PIX e modificar QR codes e chaves PIX no momento da transação - uma manifestação direta da T1565.002. ### Setor Industrial e OT Empresas do setor de [[energy|energia]] e [[petróleo-e-gás|petróleo e gás]] no Brasil (Petrobras, distribuidoras elétricas) operam redes OT com décadas de equipamentos legados que frequentemente não possuem autenticação ou criptografia nos protocolos de comunicação industrial. A [[anatel|Anatel]] e a [[aneel|ANEEL]] têm aumentado requisitos de cibersegurança, mas a lacuna de segurança em OT permanece significativa. ### Trojans Bancários Brasileiros O ecossistema de malware bancário brasileiro é um dos mais sofisticados do mundo. Famílias como [[s0530-melcoz|Melcoz]] (também conhecido como Mekotio), [[s0455-metamorfo|Metamorfo]] e [[s0531-grandoreiro|Grandoreiro]] implementam funcionalidades específicas de manipulação de dados em trânsito - monitorando clipboards, interceptando sessões de internet banking e substituindo dados de transferência (contas e valores) em tempo real, antes que a transação sejá confirmada pelo usuário. --- ## Referências - [MITRE ATT&CK - T1565.002](https://attack.mitre.org/techniques/T1565/002) - [APT38 - Financial Threat Actor (Mandiant)](https://www.mandiant.com/resources/apt38-details-on-new-north-korean-regime-backed-threat-group) - [FASTCash Campaign - US-CERT Advisory](https://us-cert.cisa.gov/ncas/alerts/AA18-275A) - [Bangladesh Bank Heist - SWIFT Security](https://www.swift.com/your-needs/financial-crime-cyber-security) - [FEBRABAN - Pesquisa de Tecnologia Bancária](https://portal.febraban.org.br/) - [Melcoz Banking Trojan - Kaspersky LATAM](https://securelist.com/melcoz-a-new-banking-trojan-from-brazil/) --- *Fonte: [MITRE ATT&CK - T1565.002](https://attack.mitre.org/techniques/T1565/002)*