Cibercriminosos com motivações políticas adotam novas táticas de ataque a organizações

Ataques cibernéticos organizados e de motivação política estão modificando seus métodos, encontrando maneiras menos diretas de lançar ataques a empesas e governos, afirma pesquisa divulgada na quarta-feira (22).
O estudo conduzido pela companhia de inteligência de ameaças CrowdStrike traz um panorama sobre motivações, métodos  e práticas de cinco grupos organizados de ataques cibernéticos – incluindo o Syrian Electronic Army (SEA), bem como grupos da China, Irã e durante 2013.
Os métodos desses grupos motivados politicamente estão mudando. Enquanto os ataques direcionados começaram historicamente com ataques de phishing direcionados a membros da organização alvo,  grupos mais sofisticados agora utilizam métodos mais indiretos – atacando parceiros e coletando informações de usuários alvo ao infectar seus sites preferidos.
A partir de exemplos específicos de ataques recentes, a pesquisa da CrowdStrike ilustra mudanças nessas estratégias de crimes cibernéticos, como a tendência de infiltrar em parceiros confiáveis. O levantamento detalha os abusos conduzidos pelo SEA (grupo chamado de Deadeye Jackal pela CrowdStrike), nos quais dados críticos de usuários foram extraídos de falhas nas plataformas de comunicação e aplicações de parceiros, como Truecaller, TangoME, e Viber Media.
“Espere ver adversários olhando para  fornecedores parceiros [em 2014], em uma tentativa de comprometer o alvo final”, afirma o relatório. “Os fornecedores, muitas vezes têm segurança menos robusta do que seus maiores clientes e as suas redes oferecem um caminho através do qual os clientes podem ser comprometidos. “
Da mesma forma, muitos grupos organizados mudaram seus métodos para enganar os usuários e levá-los a baixar malware, indica a empresa. Enquanto muitos agressores tradicionalmente procuram infectar o usuário através de um e-mail falso – às vezes chamado de um ataque de phishing – alguns grupos organizados estão agora usando ataques do tipo “strategic web compromises” (SWC, da sigla em inglês), afirmam os relatórios.
Os SWCs (também conhecidos em inglês por ataques “watering holes”) são sites legítimos que foram infectados por um cibercriminoso a fim de roubar os dados pessoais das pessoas que o frequentam. Por exemplo, um criminoso com intenção de coletar dados sobre as autoridades políticas pode infectar o local de uma conferência ou evento que é frequentado por essas pessoas.
“No passado esses grupos utilizaram vários ataques de “spearphishing” (ataques de phishing altamente direcionados), e no último anos temos visto muito mais SWCs”, comenta o co-fundador e CTO da CrowdStrike, Dmitri Alperovitch. Os SWCs são mais difíceis de detectar e reparar do que ataques de phishing, e é mais difícil identificar quem os lançou, observa.
Grupos de ataque organizados muitas vezes encontram uma rota indireta para um alvo mais fácil do que um ataque direto. Um grupo chinês, que a CrowdStrike apelidou de Emissário Panda, concentra grande parte de sua atenção em comprometer os sistemas de embaixadas estrangeiras, ao invés de ir atrás de sistemas de governo do país de origem. Da mesma forma, outro grupo chinês, chamado de Panda Numerado pela empresa, vem realizando ataques spearphishing em encontros do G20, eventos que atraem altos funcionários do governo de diversas nações.
“Os organizadores desses ataques aproveitam os grandes eventos em suas operações”, afirma o relatório. Em 2014, grupos organizados provavelmente construirão construir ataques de phishing e SWCs em eventos ao redor do mundo, como Copa do Mundo, Jogos Olímpicos de Inverno, encontro do G20 e eleições nacionais no Egito, Iraque, Tunísia e Turquia, aponta o estudo.
A CrowdStrike, que atualmente monitora mais de 50 grupos de cibercriminosos em países de todo o mundo, prevê que esses grupos com motivações políticas continuem a evoluir em suas táticas para evitar a detecção e tirar vantagem de vulnerabilidades em novas tecnologias, como o emergente generic top-level domains (gTLDs), programado para entrar em operação este ano.
“Esses gTLDs serão utilizados pelos adversários para apoiar ataques de phishing mais eficazes”, diz o relatório. “A companhia também espera que novas vulnerabilidades sejam descobertas e exploradas em softwares voltados para a rede, no que diz respeito a lidar com hostnames de gTLDs.”
“Uma das coisas que tentamos fazer com este relatório é olhar para possíveis ataques futuros, e não apenas para o ano”, realça Alperovitch. “Com uma boa inteligência de ameaças, cada organização deve ser capaz de fazer análises preditivas com base em seu histórico e em históricos de segurança de seus eventos. Se você sabe o que o cibercriminoso fez no ano passado, você pode ter uma noção do que ele pode fazer este ano.”