Atenção a alguns dos grupos hackers mais perigosos

São grupos tendem a operar no domínio da ameaça persistente avançada (APT), um termo bastante autoexplicativo para tentativas sofisticadas de invasão, que toda empresa precisa manter no radar

Author Photo
6:13 pm - 22 de junho de 2018
hackers_673891129.jpg

Atualmente, ataques cibernéticos cada vez mais sofisticados são criados e aprimorados por grupos de hackers, geralmente usando ferramentas personalizadas direcionadas a pessoas, empresas e até países.

Ousados
​​ ataques cibernéticos fazem com que caixas eletrônicos nas ruas
distribuam dinheiro de graça, por exemplo. As ações são geralmente
realizadas por grupos dedicados que trabalham nas sombras dos estados
onde são tolerados, encorajados ou até mesmo parte das ferramentas de
inteligência dos próprios países.

Muitas vezes misterioso, é só
graças à dedicação dos pesquisadores de segurança que agora sabemos um
pouco sobre como esses grupos operam, detectando indícios de quem eles
são, onde estão baseados, como operam e por quê.

Esses grupos
tendem a operar no domínio da ameaça persistente avançada (APT), um
termo bastante autoexplicativo para tentativas sofisticadas de invasão
que estão continuamente em andamento, geralmente visando uma pessoa,
empresa ou país.

Os grupos de APT usam variadas estratégias: eles
poderiam estar conduzindo espionagem cibernética para informações
políticas ou corporativas (geralmente em indústrias sensíveis ou órgãos
do setor público), eles poderiam ser patrocinados pelo estado, poderiam
ser diretamente uma função de um estado ou ser simplesmente tolerado
dentro de um estado. Um grupo APT pode ser motivado financeiramente,
envolvendo-se em cibercriminosos complexos, ou eles poderiam
simplesmente querer espalhar desinformação e caos.

Os grupos
geralmente usam ferramentas de malware personalizadas e proprietárias e
possuem meios sofisticados de ataque. Muitas vezes, eles executam suas
próprias (às vezes vastas) infra-estrutura de comando e controle, e
deliberadamente dificultam a atribuição – ou mascarando a localização
dos ataques ou como um meio de culpar outro culpado em potencial, em
outras palavras, uma operação de “bandeira falsa”.

Os grupos APT
são, por natureza, obscuros e misteriosos – mas graças ao trabalho árduo
de pesquisadores na comunidade infosec, sabemos agora detalhes sobre
alguns deles.

Conheça alguns dos mais perigosos grupos de hackers:

The Shadow Brokers
Era
quase impossível perder a ameaça do ransomware WannaCry em 2017.
WannaCry e o que era então uma variante do ransomware Petya, a NotPetya,
prejudicavam a infraestrutura e as empresas em todo o mundo.

Esses
ataques foram baseados em uma exploração desenvolvida internamente pela
Agência Nacional de Segurança (NSA) dos EUA, chamada EternalBlue, que
explorou o protocolo Server Message Block da Microsoft (decidindo
invadir essa exploração em vez de informar a Microsoft).

Um grupo
chamado The Shadow Brokers obteve os arquivos da NSA em 2013,
supostamente extraídos de um servidor de teste da NSA. Isso incluía
informações sobre todos os tipos de explorações que a agência de
espionagem mantinha.

O primeiro vazamento publicado do grupo foi
em agosto de 2016, um esconderijo de armas cibernéticas que ele atribuiu
ao ‘Equation Group’ – uma organização que se acredita estar baseada nos
EUA, possivelmente por trás do infame código Stuxnet que destruiu as
centrífugas nucleares do Irã. sugeriu também ter laços com a NSA.

Quatro
vazamentos depois e foi “EternalBlue” – o ataque baseado em SMB em que
WannaCry e Petya foram construídos, causando mais de 200 mil infecções
em todo o mundo nas primeiras duas semanas de seu lançamento. O grupo
afirma ter acesso a mais armas e exploits, e anteriormente ameaçou a
liberação de novos materiais todos os meses.

Ninguém sabe ao certo
onde o grupo Shadow Brokers se origina, mas as teorias incluem um
insider dentro do grupo “Operações de acesso sob medida” da NSA.

O
denunciante da NSA, Edward Snowden, disse que “a sabedoria convencional
indica responsabilidade russa” – acrescentando que ele acreditava que
os lançamentos eram um aviso para os EUA.

“Este vazamento parece
com alguém enviando uma mensagem de que uma escalada no jogo de
atribuição pode ficar confusa”, ele twittou.

Lazarus Group
O
misterioso Grupo Lazarus poderia estar por trás do assalto a US$ 81
milhões do Banco Central do Bangladesh em 2016. Não se sabe muito sobre
esta organização, quem está nela ou de onde ela opera, mas o fornecedor
de segurança Kaspersky fez com que seus pesquisadores tentassem rastrear
o grupo obscuro por mais de um ano.

Descobriu da “análise forense
de artefatos” que o grupo deixou em ataques aos bancos do sudeste
asiático e europeus um “profundo entendimento” do grupo e como ele opera
– observando que atacou instituições financeiras, cassinos,
desenvolvedores de software e empresas de criptomoeda ao redor do mundo.

A
anatomia típica de um ataque de Lazarus, segundo Kaspersky, vem em
quatro etapas. O primeiro é o comprometimento inicial em que um único
sistema em um alvo é violado com código remotamente acessível ou por
meio de uma exploração plantada em um site. Um funcionário faz o
download do malware, permitindo que o grupo coloque outros malwares no
sistema comprometido.

Então, os hackers do Lazarus migravam para
outros hosts do banco e colocavam backdoors por toda a organização.
Depois disso, ele realizaria uma missão de reconhecimento para aprender e
mapear a rede, sinalizando recursos internos valiosos, como servidores
de backup com credenciais ou informações de autenticação armazenadas
nela.

Por fim, o grupo implanta malwares especialmente desenvolvidos para burlar a segurança da vítima e, em seguida, faz transações.

Ninguém
sabe ao certo de onde Lazarus opera. No entanto, estudando uma coleção
de amostras de malware, o Kaspersky encontrou uma conexão estranha com
um servidor de comando e controle – durando apenas um momento – de um
endereço IP “muito raro” na Coreia do Norte.

Equation Group
Creditado
pela Kaspersky com a duvidosa honra de “criador da coroa da espionagem
cibernética”, o Equation Group refere-se à sombria Unidade de Operações
de Acesso Sob Medida da NSA.

O grupo ficou famoso por ter sido
associado ao Stuxnet, um ataque altamente sofisticado (especialmente em
sua época) que destruiu com sucesso as centrífugas nucleares do Irã,
embora suspeite que a unidade tenha informado o ataque em vez de tê-lo
perpetrado.

Segundo a Kaspersky, o grupo é “único em quase todos
os aspectos de suas atividades” – usando ferramentas que são
extremamente complicadas e caras de desenvolver, bem como exfiltrar
dados e ocultar seu trabalho de uma maneira “excepcionalmente
profissional”.

Como mencionado na entrada do Shadow Brokers –
alguns dos ataques cibernéticos mais prejudiciais que o mundo já viu se
originaram de uma única exploração da NSA. O grupo tem uma extensa
biblioteca de trojans que são conhecidos e provavelmente muitos outros
que não são.

E parece usar métodos de espionagem mais tradicionais
para entrar nos sistemas de vítimas também, em uma instância
interceptando um CD-ROM que estava sendo enviado aos participantes de
uma conferência de ciências em Houston, e substituindo-o por uma cópia
que foi infectado com o worm DoubleFantasy do grupo.

O grupo
mantém uma grande infraestrutura de servidores de comando e controle,
localizada em mais de 100 servidores e 300 domínios, incluindo hosts em
países como EUA, Reino Unido, Panamá, Costa Rica, Colômbia, Alemanha e
Holanda.

Suas vítimas parecem ser altamente visadas, incluindo
(mas não limitadas a) instituições governamentais e diplomáticas,
telecomunicações, aeroespacial, energia, pesquisa nuclear, petróleo e
gás, militares, nanotecnologia, ativistas e acadêmicos islâmicos, mídia,
transporte, finanças e empresas que trabalham com criptografia.

Carbanak/Fin7
Um
grupo de código-fonte chamado Carbanak era procurado por agências de
policiamento internacional há pelo menos cinco anos, devido ao sucesso
de roubar US$ 1 bilhão de uma série de roubos cibernéticos e redes de
caixas eletrônicos hackeadas.

Em março de 2018, a Europol
acreditou ter apontado o líder da notória gangue, ainda sem nome, para
prender a figura em Alicante, na Espanha, depois de uma investigação
internacional conjunta.

Carbanak (também apelidado de Fin7) enviou
campanhas de phishing altamente direcionadas – em outras palavras,
spear phishing – para enganar os funcionários do banco a fazer o
download de malware. Desde o final de 2013, a gangue usou seu próprio
tipo de malware, Anunak e Carbanak, e depois utilizou uma versão
modificada do software de testes de segurança chamado Cobalt Strike,
relata a Fortune.

Os primeiros alvos foram principalmente na Rússia, mas depois passou para os EUA, Alemanha, China e Ucrânia.

Eles
atacaram bancos em mais de 40 países, contabilizando afetivamente um
crime de roubo cibernético de uma gangue. O ataque de cobalto modificado
permitiu a Carbanak roubar até € 10 milhões por assalto.

Seus
engenhosos hackers de caixa eletrônico permitiram que o grupo instruísse
os caixas eletrônicos a distribuir moeda sem sequer interagir com o
terminal. Este seria então recolhido por mulas que o transferiram para a
rede financeira SWIFT, e daí para as contas dos atacantes.

A FireEye observou que o grupo apontou sua campanha de phishing na Comissão de Valores Mobiliários dos EUA.

APT37/Reaper
De
acordo com extensa pesquisa do fornecedor de segurança americano
FireEye, uma unidade de espionagem baseada na Coreia do Norte (Advanced
Persistent Threat 37 – apelidada de Reaper) aumentou suas operações no
início de 2018 e continua em missões de reconhecimento visando
estados-nação e organizações adjacentes ao estado.

Em 2017, o
grupo teve como alvo uma empresa do Oriente Médio que estava trabalhando
com a Coreia do Norte em um projeto conjunto para aumentar os serviços
de telecomunicações no país. Ele também se aperfeiçoou em uma empresa de
comércio vietnamita e até em indivíduos que trabalham em organizações
olímpicas.

A FireEye afirma que, além das operações de espionagem
baseadas no estado-nação, também tem como alvo desertores da RPDC,
sugerindo que está estreitamente afiliada ao país.

Os invasores
“Reaper” usaram vulnerabilidades no processador de texto Hangul, que é
amplamente usado na RoK – Coreia do Sul. Além disso, ele tinha um cache
de zero dias e os usava em spear phishing e “operações de
comprometimento da Web”, de acordo com a FireEye.

A infraestrutura
de comando e controle fez uso de servidores comprometidos, bem como
provedores de serviços em nuvem, para atribuição indecorosa e evitar a
detecção, e também colocou cargas de malware em sites comprometidos,
porém legítimos. As contas de e-mail usadas para aproveitar os ataques
evoluíram de domínios associados à Coreia do Sul para outros provedores,
como o Gmail, e serviços russos, como o Yandex.

A FireEye diz que
avaliou com “alta confiança” que o grupo age “em apoio ao governo
norte-coreano e está baseado principalmente na Coreia do Norte”. Os
pesquisadores chegaram a essa conclusão por várias razões, de que o
grupo estava almejando até “provavelmente links para um indivíduo
norte-coreano que acredita-se ser o desenvolvedor de várias famílias
proprietárias de malware da APT37”.

hackers

Iron Tiger APT
Possivelmente
emergindo de uma série de ataques sofisticados e altamente direcionados
na região Ásia-Pacífico, concentrando-se em políticos e agências
governamentais na China, Hong Kong, Filipinas e Tibete, o grupo
apelidado de “Iron Tiger” teria se voltado para alvos em América,
incluindo contratados do governo dos EUA na indústria aeroespacial,
energia, inteligência, telecomunicações e nuclear.

Um relatório da
Trend Micro sugeriu que os ataques se originaram da China porque os
servidores VPN usados ​​para iniciar os ataques eram baseados
principalmente na região, os nomes de arquivos e senhas usados ​​eram
chineses, recursos de texto e ID de idioma em binários de malware
definidos como chineses simplificados. Os dados Whois apontavam para
domínios registrados em endereços físicos na China. O vendedor também
apontou o dedo para uma pessoa chamada Guo Fei, um morador de Xangai,
que acreditava ser fundamental para o sucesso do grupo.

O
BitDefender em fevereiro de 2018 descobriu variantes do trojan Gh0st RAT
usado na operação Iron Tiger para novos ataques marcados pela primeira
vez em julho de 2017 – um malware personalizado chamado PZChao,
sugerindo um potencial retorno do grupo que ficou quieto por vários
anos.

Fancy Bear/APT28
Nenhuma lista de
grupos avançados de ameaças persistentes estaria completa sem o “Fancy
Bear”, que teria desempenhado papel importante na invasão do Comitê
Nacional Democrata dos EUA na corrida para as eleições americanas
(embora isso tenha sido contestado por “Guccifer 2.0”, que levou
crédito).

O grupo, diz CrowdStrike, está em cena desde 2008 e tem
como alvo todos os setores sensíveis usuais – defesa, energia, governo e
mídia – bem como dissidentes. Acredita-se que seja, no mínimo,
patrocinado pelo estado, com os fornecedores observando que o provável
culpado é a Rússia.

É capaz de executar operações simultâneas ao
mesmo tempo e criou suas próprias ferramentas de implantes, bem como
droppers, que são sistemas operacionais cruzados e podem ser apontados
para dispositivos móveis também.

A Fancy Bear estava ligada a
ataques ao parlamento alemão, bem como a campanhas para sequestrar o
tráfego de entrada para um site do governo nigeriano. O grupo também
desenvolveu malware para os dispositivos da Apple, que era capaz de ler
mensagens de texto e secretamente gravar áudio – uma ferramenta de
espionagem útil no arsenal de qualquer país.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.