Grupo de espionagem ataca empresas na Europa, América do Norte e Oriente Médio

Evidências encontradas em um computador da embaixada de um país no Oriente Médio revelou esquema de coleta de dados e comprometimento de dezenas de organizações, incluindo empresas multinacionais e agências governamentais

Compartilhar:

A Symantec anunciou a descoberta de um grupo de espionagem cibernética responsável por uma série de ataques virtuais. O Seedworm (também conhecido como MuddyWater ou Zagos), coletou informações sobre alvos distribuídos no Oriente Médio, Europa e América do Norte e teve êxito em comprometer dezenas de organizações, incluindo empresas multinacionais e agências governamentais desde o fim de setembro de 2018.

 

Os analistas da equipe DeepSight Managed Adversary and Threat Intelligence (MATI) da Symantec encontraram evidências do Seedworm/MuddyWater e do grupo de espionagem APT28 (também conhecido como Swallowtail e Fancy Bear) em um computador da embaixada de um país do Oriente Médio, em setembro passado. Deste modo, descobriram novas técnicas, backdoor e ferramentas utilizadas pelo grupo. Os pesquisadores da Symantec encontraram o ponto de entrada inicial do grupo e assim foram capazes de rastrear as atividades subsequentes deles.

 

Após comprometer um sistema por meio de um backdoor, o Seedworm parece executar uma ferramenta que rouba as senhas salvas nos navegadores da Web e em e-mails dos usuários, e usam ferramentas de código aberto para obter as credenciais de autorização do Windows. Desde pelo menos 2017, o grupo parece ter atualizado repetidamente o backdoor para evitar a detecção. O Seedworm/MuddyWater usa o GitHub e algumas ferramentas publicamente disponíveis, e as personalizam para a execução de suas operações.

 

Alvos e linha do tempo

 

A Symantec identificou no total 131 vítimas comprometidas pelo backdoor Powermud do Seedworm entre o fim de setembro e meados de novembro de 2018. As vítimas se encontravam principalmente no Paquistão, Turquia, Rússia, Arábia Saudita, Afeganistão e Jordânia. O grupo também comprometeu organizações na Europa e na América do Norte que têm ligações com o Oriente Médio.

 

Além disso, durante a análise das vítimas do Powermud, a companhia identificou o setor provável de 80 das 131 vítimas individuais. Os setores de telecomunicações (25%) e agência governamental de serviços de TI (16%) foram os alvos principais. As empresas nesses setores geralmente são “vítimas possibilitadoras”, pois poderiam oferecer aos agentes do Seedworm mais vítimas para comprometer.

 

O terceiro grupo mais comum de vítimas foi o setor de petróleo e gás (14%). Todas as 11 vítimas nesse grupo estavam dispersas na América do Norte, Oriente Médio, África e Ásia.

 

Universidades e embaixadas formaram o quarto grupo mais visado (9%). As universidades eram do Oriente Médio, já as embaixadas eram situadas na Europa, mas representando países do Oriente Médio. Duas organizações não governamentais (ONGs) também foram comprometidas.

 

As motivações do Seedworm são bem parecidas com as de muitos grupos de espionagem cibernética: a busca de informações úteis sobre organizações e indivíduos específicos. O grupo de espionagem cibernética atua dando preferência à velocidade e agilidade em detrimento da segurança operacional, o que acabou permitindo à Symantec identificar a infraestrutura operacional central dos criminosos.

 

A Symantec alertou seus parceiros, dos setores público e privado, em relação aos alvos mais recentes e às ferramentas e técnicas do Seedworm.

 

Conteúdos Relacionados

Security Report | Overview

NFL forma parceria para segurança de redes em jogos internacionais

Com a expansão da parceria com a Cisco, as crescentes operações internacionais da NFL vão aproveitar soluções em todo o...
Security Report | Overview

Cibersegurança nas eleições: O Brasil está pronto para uma onda de ataques DDoS?

Relatório da Akamai Technologies mostra como ataques DDoS crescem ao redor do mundo e colocam em risco instituições democráticas
Security Report | Overview

Quase duas mil instituições de ensino sofrem ataques cibernéticos por ano no Brasil

Relatório da Verizon aponta que o setor de Educação é muito visado por criminosos cibernéticos e especialista aponta o que...
Security Report | Overview

Laboratório detecta novas vulnerabilidades em sistemas WordPress, Cisco e Google

O relatório da consultoria Redbelt também revelou uma falha no ChatGPT para macOS, que pode ter permitido espionagem persistente. A...