Nova campanha de ciberespionagem usa código-fonte de grupo de hackers chinês

Ação utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew

Compartilhar:

A McAfee anunciou um relatório de descoberta de uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.

 

Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.

 

O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew. Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.

 

A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataques usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul.

 

Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.

 

Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.

 

“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”

 

Conteúdos Relacionados

Security Report | Overview

Treinamento de IA com dados pessoais é uma realidade, mas há riscos, aponta especialista

Empresas devem seguir as regras da ANPD e explorar novas oportunidades no setor
Security Report | Overview

Black Friday traz expectativas de golpes via e-mail, SMS e Whatsapp, alerta estudo

Usando a tática de phishing, cibercriminosos utilizam mensagens atrativas para induzir usuários a fornecer dados e desviar dinheiro
Security Report | Overview

Brasil tem aumento de 95% dos ciberataques no terceiro trimestre de 2024

Pesquisadores da Check Point Research apontam que as organizações foram atacadas 2.766 vezes semanalmente, um crescimento exponencial comparado com o...
Security Report | Overview

INTERPOL recebe apoio da indústria de SI para promover Segurança na Olimpíada

Empresa de cibersegurança Kaspersky e a organização internacional se unem para combater cibercrimes durante as Olimpíadas de 2024