A ESET descobriu o grupo de cibercriminosos que é responsável pelos os ataques aos computadores de missões diplomáticas europeias e latino-americanas. A análise de laboratório da ESET concluiu que os malwares da Ketrican, responsáveis pela invasão a diferentes delegações em 2015, e o malware Okrum, cujos ataques ocorreram ao longo de 2017, estão relacionados.
A empresa identificou novas versões das famílias de malware criadas pelo grupo Ke3chang, além de um novo backdoor, que permite acesso remoto aos sistemas de computadores comprometidos e também desenvolvidos por esse grupo de cibercriminosos. A ESET investiga há anos as atividades desse grupo criminoso, que parece operar na China.
O backdoor encontrado por pesquisadores da ESET, chamado Okrum, foi detectado pela primeira vez no final de 2016 e sua atividade contra o governo e missões diplomáticas foi observada na Bélgica, Eslováquia, Brasil, Chile e Guatemala.
A investigação da ESET começou em 2015, quando foram detectadas atividades suspeitas de malware presentes em diferentes países europeus. De acordo com as primeiras hipóteses, o grupo de cibercriminosos parecia ter interesse especial na Eslováquia, embora seus ataques também tenham afetado a Croácia, a República Tcheca e outros países. Ao analisar o malware, os pesquisadores da ESET identificaram o grupo Ke3chang como responsável e nomearam essas novas versões de malware como “Ketrican”. Em 2016, a ESET descobriu uma ameaça desconhecida até hoje, mas tinha os mesmos objetivos da Ketrican na Eslováquia. Esse backdoor, que estava ativo durante o ano de 2017, foi chamado de “Okrum”.
“Começamos a unir as peças, quando descobrimos que o backdoor Okrum estava sendo usado para lançar o backdoor Ketrican, compilado em 2017. Além disso, percebemos que algumas das missões diplomáticas que estavam sendo atacadas por Okrum também tinham sido alvos da Ketrican em 2015”, diz Zuzana Hromcova, pesquisadora da ESET que fez essas descobertas. “O grupo ainda está ativo de fato, em março deste ano, detectamos uma nova amostra do Ketrican”.
Os criminosos usaram um arquivo de imagem PNG aparentemente inofensivo que poderia ser aberto até mesmo por um visualizador de imagens sem levantar suspeitas. No entanto, o malware extraiu uma carga maliciosa do arquivo para concluir o ataque aos seus alvos. Os criminosos tentaram ocultar o tráfego gerado pelo malware em seu servidor de comando e controle, camuflando-o como se fosse um tráfego regular, usando nomes de domínio aparentemente legítimos.Em cada mês, os invasores modificavam o modo de instalação e seus componentes para evitar serem detectados.
Acesse aqui o relatório completo “OKRUM e KETRICAN: Uma visão geral da atividade recente do grupo Ke3chang.
