Malware que atingiu Olimpíadas mira alvos na Europa

Ameaça Olympic Destroyer, que agiu durante a abertura dos Jogos Olímpicos de Pyeongchang, ainda está ativa e busca atingir empresas de proteção contra armas químicas e biológicas

Compartilhar:

Pesquisadores de segurança que acompanham a ameaça Olympic Destroyer descobriram que o grupo de hackers que a desenvolveu ainda está ativo. Seus ataques são direcionados à Alemanha, França, Suíça, Holanda, Ucrânia e Rússia, com especial enfoque em organizações envolvidas na proteção contra ameaças químicas e biológicas. O malware atacou a abertura dos últimos Jogos de Inverno em Pyeongchang, recorrendo a uma destrutiva worm de rede.

 

O Olympic Destroyer é uma ameaça avançada que atingiu organizadores, fornecedores e parceiros dos Jogos de Inverno de 2018 em Pyeongchang, na Coreia do Sul, por uma operação de sabotagem com recurso a uma worm de rede. Em fevereiro deste ano, uma análise desta ameaça revelou que vários indicadores apontavam para diferentes direções quanto à origem do ataque. Alguns elementos raros e sofisticados sugeriram que o Lazarus, um grupo de hackers associados à Coreia do Norte, era responsável pela operação. Em março, foi confirmado que a campanha incluía uma falsa operação, bastante elaborada e convincente, e que o grupo em questão não seria o responsável. Agora, os investigadores descobriram que a operação Olympic Destroyer está de volta, desta vez direcionada a alvos europeus, mas recorrendo a algumas das suas ferramentas originais de infiltração e reconhecimento.

 

O cibercriminoso espalha o malware por meio de documentos spear-phishing que se assemelham aos documentos utilizados na preparação da operação dos Jogos de Inverno. Um destes documentos faz referência à “Spiez Convergence”, uma conferência sobre ameaças bioquímicas que decorre na Suíça, organizada pelos Laboratórios Spiez, uma instituição que teve um papel determinante na investigação do ataque a Salisbury. Outro documento apresentava como alvo uma entidade da Autoridade de Controle Sanitário e Veterinário da Ucrânia e alguns outros incluem palavras em russo e alemão.

 

Alguns dos anexos extraídos dos documentos maliciosos foram desenvolvidos para garantir acesso geral aos computadores comprometidos. Uma estrutura de acesso-livre, vulgarmente conhecida como Powershell Empire, foi utilizada na segunda fase do ataque.

 

Aparentemente, os cibercriminosos utilizam servidores legítimos, mas comprometidos para alocar e controlar o malware. Estes servidores, por sua vez, usam um Sistema de Gestão de Conteúdo (SGC) de acesso-livre e bastante conhecido, de nome Joomla. Os investigadores descobriram também que um dos servidores que aloja o anexo malicioso usa uma versão do Joomla (v1.7.3) disponibilizada em novembro de 2011, o que sugere que uma versão bastante desatualizada deste SGC pode estar sendo utilizada pelos hackers para invadir servidores.

 

“O aparecimento, no início deste ano, do Olympic Destroyer e dos seus sofisticados efeitos de ilusão, alterou irremediavelmente o panorama de atribuição, e demonstraram o quão fácil é cometer um erro tendo como base apenas os fragmentos da imagem que os investigadores conseguem ver. A análise destas ameaças deve assentar na cooperação entre o setor privado e as agências governamentais além das fronteiras. Esperamos que, ao partilhar publicamente as nossas descobertas, técnicos e investigadores de segurança estejam melhor preparados para, no futuro, reconhecer e mitigar este tipo de ataques em qualquer fase”, afirma Vitaly Kamluk, investigador de segurança e membro da Equipe de Análise e Pesquisa da Kaspersky Lab.

 

No ataque anterior, durante os Jogos de Inverno, o início da fase de reconhecimento ocorreu meses antes da epidemia destrutiva worm de rede que se conseguia auto modificar. É possível que o Olympic Destroyer seja um ataque semelhante, mas com novos motivos. Por essa razão, instituições de investigação de ameaças biológicas e químicas devem se manter em alerta e a lançar uma auditoria de segurança extraordinária assim que possível.

 

Conteúdos Relacionados

Security Report | Overview

Nova onda de ciberataques revela avanço da engenharia social, alerta pesquisa

Estudo aponta a nova técnica de phishing, denominada FileFix, já é usada em campanhas reais e permite execução de malwares...
Security Report | Overview

48% dos líderes do setor de ciências da vida utilizam IA para Cibersegurança, afirma estudo

Security Report | Overview

Atuação do grupo de cibercriminosos persiste apesar de operação internacional, alerta pesquisa

Alerta de especialistas afirmam que grupo de cibercriminosos ainda está ativo apesar da operação internacional de busca dos envolvidos
Security Report | Overview

Mais de 12 milhões de smartphones foram alvo de ciberataques, aponta estudo

Entre janeiro e março deste ano, foi registrado um crescimento de 27% em arquivos maliciosos detectados, em comparação com o...