Infraestrutura Industrial do sudeste asiático está sob ataque
Um grupo de ciberespionagem foi descoberto visando organizações de infraestrutura crítica baseadas no sudeste da Ásia. O grupo de ameaça está aparentemente baseado na China e interessado em explorar Sistemas de Controle Industrial (ICS).
O que foi descoberto
A Symantec descobriu que um grupo de ameaças tem como alvo quatro organizações de infraestrutura crítica localizadas em países do sudeste asiático.Os atacantes teriam como alvo organizações de energia, água, comunicações e defesa. O tipo de informação roubada ainda é desconhecido.
- Acredita-se que o objetivo da operação de espionagem cibernética seja a coleta de informações de estado-nação.
- Suspeita-se que tais operações estejam ocorrendo desde pelo menos novembro de 2020 e continuaram até pelo menos março.
- Os endereços IP, malware e modus operandi, junto com a localização das vítimas, implicam que todas as quatro organizações foram atacadas por um único grupo.
- Algumas evidências indicam que os invasores estão na China. No entanto, sua atividade não está relacionada a nenhum grupo de ameaça conhecido no momento.
Sobre os alvos
- Um dos ataques teve como alvo uma empresa de água , na qual os atacantes obtiveram acesso a uma máquina envolvida no projeto de sistemas SCADA. Outro alvo incluía uma empresa de energia, que foi comprometida por meio de um dispositivo de projeto de engenharia.
- O terceiro ataque teve como alvo uma empresa de comunicações, na qual o invasor explorou o Google Chrome Frame. O quarto ataque teve como alvo uma organização de defesa, na qual o PotPlayer Mini foi abusado por sequestro de ordem de pesquisa de DLL.
Ferramentas e metodologias de ataque
- O grupo usou várias ferramentas genuínas e de dupla finalidade, como ProcDump, Windows Management Instrumentation (WMI), PAExec, Mimikatz e PsExec.
- Ele comprometeu um reprodutor de multimídia gratuito para sequestro de DLL e um plugin do Internet Explorer chamado Google Chrome Frame. Além disso, os ataques usaram backdoor, keylogger e downloader.
Conclusão
Revelações sobre ataques de espionagem cibernética na China testemunharam um aumento acentuado nos últimos meses. Houve vários ataques a países do sudeste asiático por vários grupos chineses. Além disso, o crescente interesse em infraestrutura crítica, como sistemas ICS, tornou-se uma situação preocupante no cenário da segurança cibernética.
Fonte: https://cyware.com/
