Operação Hangover mostra complexidade e foco de cibercriminosos

Recentemente, pesquisadores descobriram detalhes sobre uma campanha de ciberespionagem diversificada na Índia que utilizava malwares cujos alvo eram especificamente máquinas Mac OS X. Eles também desvendaram sinais de que alguns dos suspeitos por trás dos crimes sabem que estão sendo observados online.

A chamada Operação Hangover tem como alvo de seus ataques o Paquistão, a China e os EUA e parece ser executada por uma organização independente de ciberespionagem com ações bem peculiares. Nenhum bug zero-day foi utilizado, nem há sinais de um patrocinador local, mas há ao menos três anos a campanha tem como alvo várias entidades de interesse nacional e industrial em todo o mundo, principalmente no Paquistão. Organizações norte-americanas e fornecedores de telecomunicações da
norueguesa Telenor e da Chicago Mercantile Exchange também parecem ser alvos.

Os pesquisadores da Norman Shark são os responsáveis pela campanha que descobriu o “Mac malware” encontrado nos ataques. “Viemos para os EUA através de mais domínios e endereços IP para nos ajudar descobrir mais informações dessa rede de cibercriminosos”, afirma Jonathan Camp, que, juntamente com o colega pesquisador, Snorre Fagerland, liderou a pesquisa sobre a Operação Hangover.

“Duas coisas vieram à tona à medida que publicamos o relatório. A própria natureza da investigação: encontramos uma pequena coisa que parecia interessante, e isso levou a três coisas mais interessantes. Continuamos seguindo esses caminhos – domínios ou nomes de usuário, por exemplo, ou partes de uma rede de mídia social, e assim fomos obtendo mais informações.”

Camp diz que alguns dos atores da campanha de ataque começaram a puxar seus currículos e outras informações off-line após a publicação relatório do Norman Shark no final de maio. “Percebemos que alguns currículos começaram a desaparecer da web, e uma pequena parte da informação era removida”, diz ele. “Nós fomos capazes de correlacionar o momento em que o relatório foi divulgado com as mudanças. As pessoas responsáveis ??por isso viram o relatório e mudaram algumas coisas.”

Distinguir os atores que tomam informações on-line apenas confirmou algumas das descobertas, ele afirma. “Isso nos mostrou que estávamos absolutamente no caminho certo, que as nossas afirmações são válidas por causa de todas as mudanças que vimos.” A Operação Hangover funciona em um modelo diferente de outros ataques persistentes. “Este é um modelo que é diferente do que já vimos antes , ele é muito mais difícil de controlar”, comenta Fagerland,  comentou o principal pesquisador de segurança na equipe de detecção de malware de Norman  Shark, em entrevista ao Dark Reading no final de maio. “Minha preocupação é que isso mostra o quanto a Hangover deve ser lucrativa.  Por isso temos essas APTs crescendo em todos os lugares.”

A Hangover parece empregar criadores de código freelance e utiliza uma abordagem “padronizada” para estabelecer domínios e compartilhar imagens. A F-Secure, no primeiro trimestre, relatou em seu blog sobre um ataque Mac spyware direcionado no computador de um dissidente angolano, atribuído pela Norman Shakes também à Operação Hangover.

Após a publicação do relatório, a Norman Shark encontrou novos “Mac malware”, segundo Camp. Ele relata que foi interessante detalhar como os atores na campanha eram organizados e quem foi responsável por cada parte do código ou spearphish, por exemplo. “Eles não estavam apenas focados em um alvo específico. E eles têm grupos de diferentes pessoas trabalhando trabalham em vários elementos da campanha.”

O grande ponto de interrogação da operação, no entanto, é se a empresa de segurança indiana Appin Security Group está envolvida. Norman diz que a palavra “Appin” e ” AppinSecurity Group ” aparece dentro de executáveis e o perfil de um desenvolvedor de códigos da Hangover foi encontrado em um site de emprego on-line para programadores freelance no que dizia que ele trabalha para Appin. Contudo, o relatório Norman Shark destaca que existe a possibilidade as provas serem falsas, com intenção de prejudicar a empresa.

Outras empresas de segurança que estudaram os ataques, como a CrowdStrike, afirmam que não se trata de uma coincidência o nome da Appin surgir na pesquisa. Adam Meyers, diretor de inteligência da CrowdStrike, que vem estudando os mesmos ataques (sob o nome de Viceroy Tiger), disse em uma entrevista que a Appin parece ter alguma ligação: “É muito improvável que eles sejam vítimas inocentes no caso. A probabilidade de eles terem desenvolvido e utilizado o software é extremamente elevada”, afirmou Dark Reading. A Appin, por sua vez, contestou qualquer ligação com a operação.

Os ataques atingiram várias entidades e indústrias, principalmente no Paquistão. Organizações nos EUA, a Noruega, o Irã, China, Taiwan, Tailândia, Jordânia, Indonésia, Reino Unido, Alemanha, Áustria, Polônia, Romênia e outros países também foram alvo. A Operação Hangover foi atrás de organizações governamentais e militares, empresas do setor de mineração e telecomunicações, escritórios de advocacia (também nos EUA), indústrias de alimentos e manufatura.