A Symantec anunciou a descoberta de um grupo de espionagem cibernética responsável por uma série de ataques virtuais. O Seedworm (também conhecido como MuddyWater ou Zagos), coletou informações sobre alvos distribuídos no Oriente Médio, Europa e América do Norte e teve êxito em comprometer dezenas de organizações, incluindo empresas multinacionais e agências governamentais desde o fim de setembro de 2018.
Os analistas da equipe DeepSight Managed Adversary and Threat Intelligence (MATI) da Symantec encontraram evidências do Seedworm/MuddyWater e do grupo de espionagem APT28 (também conhecido como Swallowtail e Fancy Bear) em um computador da embaixada de um país do Oriente Médio, em setembro passado. Deste modo, descobriram novas técnicas, backdoor e ferramentas utilizadas pelo grupo. Os pesquisadores da Symantec encontraram o ponto de entrada inicial do grupo e assim foram capazes de rastrear as atividades subsequentes deles.
Após comprometer um sistema por meio de um backdoor, o Seedworm parece executar uma ferramenta que rouba as senhas salvas nos navegadores da Web e em e-mails dos usuários, e usam ferramentas de código aberto para obter as credenciais de autorização do Windows. Desde pelo menos 2017, o grupo parece ter atualizado repetidamente o backdoor para evitar a detecção. O Seedworm/MuddyWater usa o GitHub e algumas ferramentas publicamente disponíveis, e as personalizam para a execução de suas operações.
Alvos e linha do tempo
A Symantec identificou no total 131 vítimas comprometidas pelo backdoor Powermud do Seedworm entre o fim de setembro e meados de novembro de 2018. As vítimas se encontravam principalmente no Paquistão, Turquia, Rússia, Arábia Saudita, Afeganistão e Jordânia. O grupo também comprometeu organizações na Europa e na América do Norte que têm ligações com o Oriente Médio.
Além disso, durante a análise das vítimas do Powermud, a companhia identificou o setor provável de 80 das 131 vítimas individuais. Os setores de telecomunicações (25%) e agência governamental de serviços de TI (16%) foram os alvos principais. As empresas nesses setores geralmente são “vítimas possibilitadoras”, pois poderiam oferecer aos agentes do Seedworm mais vítimas para comprometer.
O terceiro grupo mais comum de vítimas foi o setor de petróleo e gás (14%). Todas as 11 vítimas nesse grupo estavam dispersas na América do Norte, Oriente Médio, África e Ásia.
Universidades e embaixadas formaram o quarto grupo mais visado (9%). As universidades eram do Oriente Médio, já as embaixadas eram situadas na Europa, mas representando países do Oriente Médio. Duas organizações não governamentais (ONGs) também foram comprometidas.
As motivações do Seedworm são bem parecidas com as de muitos grupos de espionagem cibernética: a busca de informações úteis sobre organizações e indivíduos específicos. O grupo de espionagem cibernética atua dando preferência à velocidade e agilidade em detrimento da segurança operacional, o que acabou permitindo à Symantec identificar a infraestrutura operacional central dos criminosos.
A Symantec alertou seus parceiros, dos setores público e privado, em relação aos alvos mais recentes e às ferramentas e técnicas do Seedworm.