Grupo de espionagem ataca empresas na Europa, América do Norte e Oriente Médio

Evidências encontradas em um computador da embaixada de um país no Oriente Médio revelou esquema de coleta de dados e comprometimento de dezenas de organizações, incluindo empresas multinacionais e agências governamentais

Compartilhar:

A Symantec anunciou a descoberta de um grupo de espionagem cibernética responsável por uma série de ataques virtuais. O Seedworm (também conhecido como MuddyWater ou Zagos), coletou informações sobre alvos distribuídos no Oriente Médio, Europa e América do Norte e teve êxito em comprometer dezenas de organizações, incluindo empresas multinacionais e agências governamentais desde o fim de setembro de 2018.

 

Os analistas da equipe DeepSight Managed Adversary and Threat Intelligence (MATI) da Symantec encontraram evidências do Seedworm/MuddyWater e do grupo de espionagem APT28 (também conhecido como Swallowtail e Fancy Bear) em um computador da embaixada de um país do Oriente Médio, em setembro passado. Deste modo, descobriram novas técnicas, backdoor e ferramentas utilizadas pelo grupo. Os pesquisadores da Symantec encontraram o ponto de entrada inicial do grupo e assim foram capazes de rastrear as atividades subsequentes deles.

 

Após comprometer um sistema por meio de um backdoor, o Seedworm parece executar uma ferramenta que rouba as senhas salvas nos navegadores da Web e em e-mails dos usuários, e usam ferramentas de código aberto para obter as credenciais de autorização do Windows. Desde pelo menos 2017, o grupo parece ter atualizado repetidamente o backdoor para evitar a detecção. O Seedworm/MuddyWater usa o GitHub e algumas ferramentas publicamente disponíveis, e as personalizam para a execução de suas operações.

 

Alvos e linha do tempo

 

A Symantec identificou no total 131 vítimas comprometidas pelo backdoor Powermud do Seedworm entre o fim de setembro e meados de novembro de 2018. As vítimas se encontravam principalmente no Paquistão, Turquia, Rússia, Arábia Saudita, Afeganistão e Jordânia. O grupo também comprometeu organizações na Europa e na América do Norte que têm ligações com o Oriente Médio.

 

Além disso, durante a análise das vítimas do Powermud, a companhia identificou o setor provável de 80 das 131 vítimas individuais. Os setores de telecomunicações (25%) e agência governamental de serviços de TI (16%) foram os alvos principais. As empresas nesses setores geralmente são “vítimas possibilitadoras”, pois poderiam oferecer aos agentes do Seedworm mais vítimas para comprometer.

 

O terceiro grupo mais comum de vítimas foi o setor de petróleo e gás (14%). Todas as 11 vítimas nesse grupo estavam dispersas na América do Norte, Oriente Médio, África e Ásia.

 

Universidades e embaixadas formaram o quarto grupo mais visado (9%). As universidades eram do Oriente Médio, já as embaixadas eram situadas na Europa, mas representando países do Oriente Médio. Duas organizações não governamentais (ONGs) também foram comprometidas.

 

As motivações do Seedworm são bem parecidas com as de muitos grupos de espionagem cibernética: a busca de informações úteis sobre organizações e indivíduos específicos. O grupo de espionagem cibernética atua dando preferência à velocidade e agilidade em detrimento da segurança operacional, o que acabou permitindo à Symantec identificar a infraestrutura operacional central dos criminosos.

 

A Symantec alertou seus parceiros, dos setores público e privado, em relação aos alvos mais recentes e às ferramentas e técnicas do Seedworm.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Pesquisa: Falhas evitáveis são determinantes no aumento de incidentes no Brasil

Análise da DANRESA alerta para o aumento de incidentes de Segurança no país não é reflexo exclusivo de ataques complexos,...
Security Report | Overview

Brasil ultrapassa 4 mil ciberataques semanais por organização, alerta reporte

Relatório mensal da Check Point aponta que o país ficou acima da média mundial - com crescimento de 4% nessa...
Security Report | Overview

E-commerce brasileiro barra mais de 110 mil tentativas de fraude em maio

Levantamento da Serasa Experian revela que ações fraudulentas evitadas poderiam causar prejuízo de R$ 107,6 milhões ao varejo, com criminosos...
Security Report | Overview

Setor financeiro se mobiliza para combater golpes em viagens

Com o aumento de excursões, hospedagens e compras online no período de recesso escolar, banco reforça dicas práticas para evitar...