Nova campanha de espionagem cibernética usa código-fonte de hackers chineses

A McAfee, a empresa de cibersegurança que vai dos dispositivos à nuvem, descobriu uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.

Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.

O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew.

Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.

Ondas de ataques

A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataques usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante.

Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul. Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.

Implicações

Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.

“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”