Hackers passaram meses se escondendo em redes de empresas sem serem detectados
Um grupo de hackers patrocinado pelo estado está rastejando em redes há quase um ano como parte de uma campanha de roubo de informações, avisa a Symantec.
Uma campanha de espionagem cibernética está usando um novo malware para se infiltrar em alvos em todo o mundo, incluindo organizações de mídia, finanças, construção e engenharia.
Detalhado pela empresa de segurança cibernética Symantec , os ataques contra organizações nos EUA, Japão, Taiwan e China estão sendo conduzidos com o objetivo de roubar informações e foram vinculados a um grupo de espionagem conhecido como Palmerworm – também conhecido como BlackTech – que tem um histórico de campanhas em andamento de volta a 2013.
A adição de um alvo nos Estados Unidos a esta campanha sugere que o grupo está expandindo as campanhas para abraçar um conjunto de alvos mais amplo e geograficamente diverso em sua busca para roubar informações – embora as motivações completas permaneçam obscuras.
Em alguns casos, Palmerworm manteve uma presença em redes comprometidas por um ano ou mais, muitas vezes com a ajuda de táticas de ‘viver fora da terra’ que aproveitam software e ferramentas legítimas, de modo a não levantar suspeitas de que algo pode estar errado – e também criando menos evidências de que ele pode ser usado para rastrear a origem do ataque.
Os pesquisadores não foram capazes de determinar como os hackers obtêm acesso à rede nesta última rodada de ataques Palmerworm, mas campanhas anteriores implantaram e-mails de spear phishing para comprometer as vítimas.
No entanto, sabe-se que a implantação do malware usa carregadores personalizados e ferramentas de reconhecimento de rede semelhantes às campanhas anteriores do Palmerworm, deixando os pesquisadores “razoavelmente confiantes” de que é o mesmo grupo por trás desses ataques.
O malware do Palmerworm também usa certificados de assinatura de código roubados nas cargas para fazer com que pareçam mais legítimos e mais difíceis de serem detectados pelo software de segurança. Essa tática também é conhecida por ter sido implantada pelo grupo anteriormente.
O malware trojan fornece aos atacantes uma porta dos fundos secreta para a rede e esse acesso é mantido com o uso de várias ferramentas legítimas, incluindo PSExec e SNScan, que são exploradas para se mover pela rede sem serem detectadas. Enquanto isso, o WinRar é usado para compactar arquivos, tornando-os mais fáceis para os invasores extraírem da rede.
“O grupo é experiente o suficiente para acompanhar os tempos e seguir a tendência de usar ferramentas disponíveis publicamente onde for possível, a fim de minimizar o risco de descoberta e atribuição”, disse Dick O’Brien, diretor da equipe de caçadores de ameaças da Symantec. “Como muitos invasores patrocinados pelo estado, eles parecem estar minimizando o uso de malware personalizado, implantando-o apenas quando necessário.”
As organizações que a Symantec identificou como vítimas do Palmerworm incluem uma empresa de mídia e uma financeira em Taiwan, uma construtora na China e uma empresa nos Estados Unidos; em cada caso, os invasores passaram meses acessando secretamente as redes comprometidas. Compromissos mais curtos de apenas alguns dias foram detectados nas redes de uma empresa de eletrônicos em Taiwan e uma empresa de engenharia no Japão.
A Symantec não atribuiu o Palmerworm a nenhum grupo em particular, mas autoridades taiwanesas já afirmaram que os ataques podem estar relacionados à China . Se for esse o caso, isso sugere que os hackers chineses visaram uma empresa chinesa como parte da campanha – embora os pesquisadores não tenham se importado com as implicações potenciais disso.
No entanto, o que é certo é que, independentemente de quem Palmerworm esteja trabalhando em nome, é improvável que o grupo tenha encerrado as operações e continuará sendo uma ameaça.
“Dando o quão recente algumas das atividades são, nós as consideramos ainda ativas. O nível de reequipamento que vimos, com quatro novos itens de malware personalizado, é significativo e sugere um grupo com uma agenda ocupada”, disse O’Brien.
Embora a natureza das campanhas avançadas de hacking signifique que elas podem ser difíceis de identificar e se defender, as organizações podem percorrer um longo caminho para se proteger, tendo uma visão clara de sua rede e conhecimento de como é a atividade usual e incomum – e bloqueando atividades suspeitas se necessário.
“A maioria dos ataques de espionagem não são um único evento. Eles são uma longa cadeia de eventos em que os invasores usam uma ferramenta para realizar uma tarefa, outra ferramenta para realizar a próxima tarefa e, em seguida, pulam de um computador para outro e assim por diante, “disse O’Brien
“Há muitas etapas que o invasor deve seguir para chegar aonde deseja e fazer o que quiser. Cada etapa individual é uma oportunidade para ser detectada, interrompida e até bloqueada. E o que você espera é que, se não forem detectados em uma etapa dessa cadeia, serão detectados na próxima ”, acrescentou.