• Campanha de Ciber Espionagem e Atividades de Malware

    Um grupo de pesquisadores da Trend Micro descobriu recentemente, uma nova e agressiva campanha de cyber espionagem que está em plena atividade, e que tem feito cerca de 71 vítimas a cada dia, incluindo os ministérios governamentais, empresas de tecnologia, instituições de pesquisa acadêmicas, organizações não-governamentais e alguns meios de comunicação. Chamada de "Safe", essa campanha teria, primeiramente, sido descoberta em outubro de 2012 e até agora, resultou em quase 12.000 endereços únicos de IP, abordando mais de 100 países com referência a conexão a servidores de comando e controle (C & C).

    Entretanto, o número real de alvos parece ser bem menor do que o calculado, devido a alguns desses endereços IP estarem concentrados dentro de blocos de rede específicos. Portanto, há uma grande probabilidade deles estarem sendo utilizados pela mesma organização. De acordo com o que disseram os pesquisadores, ao investigar e monitorar as atividades de campanha de segurança ao longo do tempo, houve uma enorme capacidade de tirar proveito dos erros cometidos pelos atacantes. Dessa forma, houve a possibilidade de compreender, de maneira mais profunda, a que se propõem essas operações realizadas.




    Visibilidade do Conteúdo dos Diretórios

    Um dos servidores C & C foi criado de tal forma, que o conteúdo dos diretórios eram visíveis a qualquer um que o acessasse. Como resultado disso, não houve somente a capacidade de determinar quem foram as vítimas dessa campanha cibercriminosa, mas também, se essas potenciais vítimas baixaram arquivos de backup que continham o código fonte PHP. Esse código foi o que os atacantes utilizaram para o servidor C & C, e o código C, foi o que eles usaram para gerar o malware implementado nos ataques.


    Previsibilidade dos Ataques e Infiltração de Arquivos Maliciosos


    Os ataques começam quase, previsivelmente, através de e-mails spear-phishing (Tibetan- and Mongolian-themed), que contem um arquivo malicioso do MS Word. Esse arquivo, de maneira específica, foi projetado para explorar uma vulnerabilidade (abordada em CVE-2012-0158) em versões mais antigas do software. O "documento chamariz" seria aberto, e por trás disso, arquivos maliciosos se infiltrariam no sistema, em preparação para a segunda fase do ataque; a partir dessa próxima etapa, os programas off-the-shelf fariam o download, executariam o malware e ferramentas adicionais, que são capazes de extrair senhas de navegadores como o Internet Explorer e Mozilla Firefox, bem como quaisquer credenciais armazenadas no Remote Desktop Protocol (RDP).

    A partir da análise dos endereços IP que entraram em contato com os dois servidores C & C, foi revelado que os sistemas mais visados ​​foram localizados na Mongólia, na Índia, nos EUA, na China, no Paquistão e nas Filipinas. Analisando de forma mais profunda, os servidores C & C permitiram também identificar as ferramentas e código fonte dos elementos que foram utilizadas ​​para processos de criação, distribuição e criptografia / decriptografia. Além disso, o autor do malware parece ter fixado suas bases na China, e os pesquisadores acreditam fortemente, que ele seja um engenheiro de software de extremo profissionalismo, levando em consideração suas habilidades e a maneira como age.


    Profissionalismo nas Atividades Implementadas

    Conforme outras considerações feitas pelos pesquisadores, o código-fonte inteiro foi explicitamente escrito com planos de desenvolvimento futuro em mente. Além disso, ele foi modularizado e fortemente comentado de uma maneira que permite o desenvolvimento até mesmo por vários engenheiros. Estas qualidades são tradicionalmente vistas no trabalho de engenheiros de software profissionais. Além de ser significativamente bem organizado e bem comentado, o código também foi desenvolvido com um sistema de programação defensiva para cada uma das suas variáveis; ele também ​​foi nomeado de forma muito óbvia, ajudando outros engenheiros na distinção de suas muitas funcionalidades.

    Outro ponto bastante perceptível, é que o código também tinha uma inclinação evidente para a usabilidade. Cada interface é muito intuitiva e muito bem concebida, algo que não é visto frequentemente no código de um amador. O uso de termos como "bot", combinado com a postagem do código de malware para sites de compartilhamento de código, indicam um alto grau de familiaridade com o submundo cibercriminoso que existe na China. Entretanto, os operadores da campanha mantém um certo mistério devido ao uso de VPNs e ferramentas de proxy.


    Saiba Mais:

    [1] Malware News http://www.net-security.org/malware_news.php?id=2500

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L