Tecnologia

Grupo de cyber espionagem visa governos da América do Sul e Ásia

Grupo de cyber espionagem visa governos da América do Sul e Ásia

Grupo, que utiliza o malware Felismus, tem um interesse na política externa sul-americana.

São Paulo 7 de novembro de 2017 –A Symantec Corporation (NASDAQ: SYMC), empresa líder no mercado de segurança da informação, identificou um grupo até então desconhecido, o Sowbug, e que tem conduzido ataques cibernéticos altamente direcionados contra organizações da América do Sul e do Sudeste Asiático, mais especificamente instituições de política externa e alvos diplomáticos. A Symantec identificou o Sowbug hospedando arquivos de espionagem clássicos capazes de roubar documentos das organizações nas quais se infiltra.

A Symantec percebeu a primeira evidência relacionada ao Sowbug com uma atividade suspeita de um novo malware chamado Felismus, em março de 2017. O malware foi usado contra um alvo no Sudeste Asiático. Posteriormente, foram identificadas mais vítimas em ambos os lados do Oceano Pacífico. Enquanto a ferramenta Felismus foi identificada inicialmente em março deste ano, sua associação com Sowbug era desconhecida até agora. A Symantec também identificou ligação entre campanhas de ataque anteriores e o grupo, demonstrando que ele está ativo desde a metade no ano de 2015 e pode ter iniciados suas atividades ainda antes.

Até o momento, o Sowbug parece estar focado principalmente em entidades governamentais da América do Sul e do Sudeste Asiático e tem organizações infiltradas na Argentina, Brasil, Equador, Peru, Brunei e na Malásia. O grupo possui recursos suficientes para infiltrar múltiplos alvos simultaneamente e, muitas vezes, opera fora do horário de trabalho das organizações direcionadas para se manter imperceptível.

Invasão altamente direcionada

Algumas pistas sobre a motivação e os interesses dos invasores podem ser encontradas em seus ataques. Em um ataque a um ministério das Relações Exteriores da América do Sul em 2015, por exemplo, o modo de ataque indicou que o grupo estava procurando por informações muito específicas.

Apesar da primeira evidência de sua invasão ser em 6 de maio de 2015, a atividade ficou mais intensa em 12 de maio do mesmo ano. Os invasores pareciam estar interessados em uma divisão do ministério responsável pelas relações com a região da Ásia-Pacífico. Eles tentaram extrair todos os documentos em Word armazenados em um servidor de arquivos pertencente a esta divisão agrupando-os em um arquivo RAR e executando o seguinte comando:

cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar “\\[REDACTED]\*.docx” \\[REDACTED]\*.doc.

Curiosamente, o comando especificou que somente arquivos modificados a partir de 11 de maio de 2015 em diante deveriam ser arquivados. Os invasores parecem ter extraído com sucesso o arquivo, já que uma hora depois eles retornaram, desta vez tentando extrair todos os documentos modificados a partir de 7 de maio de 2015. Isto indica que eles não encontraram o que estavam procurando na incursão inicial, ou então notaram algo nos documentos que roubaram anteriormente que os levou a buscar mais informações.

Os invasores não pararam por aí. O próximo passo foi listar todas as unidades compartilhadas remotas e, em seguida, tentar acessar compartilhamentos remotos pertencentes ao escritório do governo que era o alvo do grupo, tentando novamente extrair todos os documentos em Word. Nesse caso, eles procuraram por qualquer documento modificado a partir de 9 de maio, mas incluíram também buscas em uma outra divisão do ministério das Relações Exteriores da América do Sul, responsável por relações com organizações internacionais. Eles também implantaram duas cargas de dados desconhecidos no servidor infectado. No total, os invasores mantiveram a presença na rede do alvo durante quatro meses, entre maio e setembro de 2015.
Network transversal: Mantendo-se invisível

O Sowbug frequentemente mantem uma presença de longo prazo nas redes de organizações, às vezes fica até seis meses dentro de um ambiente atacado. Uma das táticas que usa para evitar chamar a atenção é representar pacotes de software comuns, como Windows ou Adobe Reader. O grupo nunca tentou violar o próprio software, ao invés disso, nomeia suas ferramentas com nomes de arquivos semelhantes aos usados pelo software e os coloca em árvores de diretórios que podem ser confundidas com as usadas pelo software legítimo. Isso permite que os invasores fiquem invisíveis, já que sua aparência não aparenta suspeita.

Por exemplo, em setembro de 2016, o Sowbug infiltrou uma organização na Ásia implantando o backdoor Felismus em um de seus computadores usando o nome do arquivo:adobecms.exe em CSIDL_WINDOWS \ debug. A partir daí, instalou componentes e ferramentas adicionais em um diretório chamado CSIDL_APPDATA \ microsoft \ security.

Os invasores então começaram a executar atividades de reconfiguração no computador por meio do comando cmd.exe, coletando informações como versão do sistema operacional, configuração de hardware e dados de rede. O próximo passo foi tentar identificar todos os aplicativos instalados no computador. Eles retornaram quatro dias depois, criando um subdiretório chamado “comum” no diretório Adobe da pasta Arquivos de Programas, ou seja, c: \ Arquivos de Programas \ Adobe \ common, e instalaram outra ferramenta neste subdiretório, novamente chamado adobecms.exe. Esta foi possivelmente uma versão atualizada do backdoor.

Os invasores instalaram ainda um executável chamado fb.exe, aparentemente para copiar o Felismus por meio da rede para outros computadores. Há evidências de que os invasores o usaram para tentar infectar pelo menos mais dois computadores. Nesse caso, eles mantiveram presença na rede do alvo por quase seis meses entre setembro de 2016 e março de 2017.

Vetores de infração

Ainda não é conhecido como o Sowbug realiza a infiltração inicial. Em alguns casos, não havia nenhum rastro de como o Felismus abriu caminho em computadores corrompidos, o que significa que provavelmente foi implantado a partir de outros computadores danificados na rede. Em outros ataques, havia evidências de que o malware foi instalado usando uma ferramenta conhecida como Starloader (detectada pela Symantec como Trojan.Starloader). Este é um carregador que instala e desencripta dados de um arquivo chamado Stars.jpg. Além disso, Starloader também foi observado implementando ferramentas adicionais usadas pelos atacantes, como dumpers de credenciais e keyloggers.

Também é desconhecido como o Starloader é instalado no computador danificado. Uma possibilidade é que os invasores usem falsas atualizações de software para instalar arquivos. A Symantec encontrou evidências de arquivos do Starloader sendo nomeados AdobeUpdate.exe, AcrobatUpdate.exe e INTELUPDATE.EXE entre outros. Estes foram usados para criar versões do backdoor do Felismus, bem como outras ferramentas.

Ameaça global

Enquanto os ataques de espionagem cibernética são frequentemente vistos contra alvos nos EUA, Europa e Ásia, é muito menos comum ver países sul-americanos serem alvo. No entanto, o número de operações ativas de ciberespionagem aumentou de forma constante nos últimos anos e o surgimento do Sowbug é um lembrete de que nenhuma região é imune a este tipo de ameaça.

Proteção

Os clientes da Symantec estão protegidos contra o Sowbug e a Symantec também faz esforços para notificar alvos identificados de suas operações.

Sobre o relatório

A Symantec possui a mais vasta fonte de análise de ameaças, por meio de sua rede global de inteligência (GIN), que monitora mais de 700 mil dispositivos conectados à sua rede, gravando os eventos de 98 milhões de sensores de ataques em todo o mundo. A rede monitora atividades suspeitas em mais de 157 países e territórios por meio de uma combinação de produtos da Symantec e da Norton, além de tecnologias, serviços e outras fontes de dados de terceiros. Esse material permite que a Symantec analise uma fonte de dados sem precedentes com a qual pode identificar, analisar e prover informações complementares a tendências de ataques, como botnets, atividades suspeitas de códigos, fishing e spam.
A fonte de usuários conectados foi utilizada com base no Internet World Stats, divulgado em 25 de julho deste ano.

Sobre a Symantec

A Symantec Corporation (Nasdaq: SYMC) é líder em proteção das informações e ajuda as pessoas, empresas e governos que buscam a liberdade para desbloquear as oportunidades que a tecnologia traz – a qualquer hora e em qualquer lugar. Fundada em abril de 1982, a Symantec, uma empresa da Fortune 500, opera uma das maiores redes de inteligência de dados globais e proporciona segurança, para onde a informação vital é armazenada, acessada e compartilhada. A companhia possui mais de 19.000 funcionários em mais de 50 países. Noventa e nove por cento das empresas da Fortune 500 são clientes da Symantec.

Para saber mais acesse: www.symantec.com.br ou conecte-se com a Symantec no go.symantec.com/socialmedia.

Comentários

Comentários

Tecnologia

More in Tecnologia

Jovens encontram solução de acessibilidade digital para o GetNinjas

Jornal de Humaitá9 09America/Manaus novembro 09America/Manaus 2017

5 Motivos para pais e educadores apoiarem o uso dos games

Jornal de Humaitá9 09America/Manaus novembro 09America/Manaus 2017

Bike motorizada movida à água é desenvolvida em Manaus

Jornal de Humaitá9 09America/Manaus novembro 09America/Manaus 2017

Os cientistas dizem que seu cérebro ainda funciona após a morte

Jornal de Humaitá24 24America/Manaus outubro 24America/Manaus 2017

Os 10 principais perigos da Internet que você não conhecia e dicas de como se proteger

Jornal de Humaitá19 19America/Manaus setembro 19America/Manaus 2017

Cinco tecnologias para tornar as cidades mais inteligentes

Jornal de Humaitá18 18America/Manaus setembro 18America/Manaus 2017

Primeiro satélite geoestacionário brasileiro para defesa e comunicações estratégicas é lançado ao espaço

Jornal de Humaitá5 05America/Manaus Maio 05America/Manaus 2017

Empresa analisa bactérias encontradas em plantas da Amazônia para produção de biossurfactantes e plásticos biodegradáveis

Jornal de Humaitá27 27America/Manaus Abril 27America/Manaus 2017

FCecon realiza a primeira cirurgia a laser para o tratamento do câncer de laringe

Jornal de Humaitá23 23America/Manaus Abril 23America/Manaus 2017
Seja bem vindo.

Categorias

Arquivos

Copyright © 2017 Jornal de Humaitá