Entretanto, o número real de alvos parece ser bem menor do que o calculado, devido a alguns desses endereços IP estarem concentrados dentro de blocos de rede específicos. Portanto, há uma grande probabilidade deles estarem sendo utilizados pela mesma organização. De acordo com o que disseram os pesquisadores, ao investigar e monitorar as atividades de campanha de segurança ao longo do tempo, houve uma enorme capacidade de tirar proveito dos erros cometidos pelos atacantes. Dessa forma, houve a possibilidade de compreender, de maneira mais profunda, a que se propõem essas operações realizadas.
Visibilidade do Conteúdo dos Diretórios
Um dos servidores C & C foi criado de tal forma, que o conteúdo dos diretórios eram visíveis a qualquer um que o acessasse. Como resultado disso, não houve somente a capacidade de determinar quem foram as vítimas dessa campanha cibercriminosa, mas também, se essas potenciais vítimas baixaram arquivos de backup que continham o código fonte PHP. Esse código foi o que os atacantes utilizaram para o servidor C & C, e o código C, foi o que eles usaram para gerar o malware implementado nos ataques.
Previsibilidade dos Ataques e Infiltração de Arquivos Maliciosos
Os ataques começam quase, previsivelmente, através de e-mails spear-phishing (Tibetan- and Mongolian-themed), que contem um arquivo malicioso do MS Word. Esse arquivo, de maneira específica, foi projetado para explorar uma vulnerabilidade (abordada em CVE-2012-0158) em versões mais antigas do software. O "documento chamariz" seria aberto, e por trás disso, arquivos maliciosos se infiltrariam no sistema, em preparação para a segunda fase do ataque; a partir dessa próxima etapa, os programas off-the-shelf fariam o download, executariam o malware e ferramentas adicionais, que são capazes de extrair senhas de navegadores como o Internet Explorer e Mozilla Firefox, bem como quaisquer credenciais armazenadas no Remote Desktop Protocol (RDP).
A partir da análise dos endereços IP que entraram em contato com os dois servidores C & C, foi revelado que os sistemas mais visados foram localizados na Mongólia, na Índia, nos EUA, na China, no Paquistão e nas Filipinas. Analisando de forma mais profunda, os servidores C & C permitiram também identificar as ferramentas e código fonte dos elementos que foram utilizadas para processos de criação, distribuição e criptografia / decriptografia. Além disso, o autor do malware parece ter fixado suas bases na China, e os pesquisadores acreditam fortemente, que ele seja um engenheiro de software de extremo profissionalismo, levando em consideração suas habilidades e a maneira como age.
Profissionalismo nas Atividades Implementadas
Conforme outras considerações feitas pelos pesquisadores, o código-fonte inteiro foi explicitamente escrito com planos de desenvolvimento futuro em mente. Além disso, ele foi modularizado e fortemente comentado de uma maneira que permite o desenvolvimento até mesmo por vários engenheiros. Estas qualidades são tradicionalmente vistas no trabalho de engenheiros de software profissionais. Além de ser significativamente bem organizado e bem comentado, o código também foi desenvolvido com um sistema de programação defensiva para cada uma das suas variáveis; ele também foi nomeado de forma muito óbvia, ajudando outros engenheiros na distinção de suas muitas funcionalidades.
Outro ponto bastante perceptível, é que o código também tinha uma inclinação evidente para a usabilidade. Cada interface é muito intuitiva e muito bem concebida, algo que não é visto frequentemente no código de um amador. O uso de termos como "bot", combinado com a postagem do código de malware para sites de compartilhamento de código, indicam um alto grau de familiaridade com o submundo cibercriminoso que existe na China. Entretanto, os operadores da campanha mantém um certo mistério devido ao uso de VPNs e ferramentas de proxy.
Saiba Mais:
[1] Malware News http://www.net-security.org/malware_news.php?id=2500