Hackers chineses por trás da campanha de ciberespionagem
amplamente divulgada contra o The New York Times adicionaram o Dropbox e
o WordPress em sua lista de ferramentas de spear-phishing (ou ataques
com e-mails maliciosos direcionados).
O grupo, conhecido por especialistas de segurança como
DNSCalc, tem utilizado o serviço de compartilhamento de arquivos Dropbox
há aproximadamente 12 meses para espalhar malware, disse Rich Barger,
executivo chefe da inteligência para Cyber Squared.
"Eu não diria que a tática é nova", disse Barger nessa
quinta-feira (11). "É apenas algo que as pessoas não estão realmente
olhando ou prestando atenção."
A quadrilha, identificada pela empresa de segurança
Madiant, está entre os 20 grupos chineses que lançam ataques contra
alvos específicos para roubar informações. O DNSCalc estava atrás de
informações sobre os indivíduos ou governos ligados à Associação de
Nações do Sudeste Asiático - ASEAN, organização não-governamental que
representa os interesses econômicos de 10 países do Sudeste Asiático.
Como atuam
Os crackers não exploraram qualquer vulnerabilidade no
Dropbox ou WordPress. Em vez disso, eles abriram contas e utilizaram os
serviços para atuar como uma infraestrutura.
A quadrilha enviou ao Dropbox um arquivo ".zip" como se
pertencesse ao Conselho de Negócios da ASEAN-EUA. As mensagens foram
enviadas a pessoas ou entidades que estariam interessadas no projeto
de políticas do Conselho.
O documento, contido no arquivo, era legítimo, disse
Barger. Mas, quando o conteúdo era descompactado, outro arquivo de
nome "2013 US-ASEAN Business Council Statement of Priorities in the
US-ASEAN Commercial Relationship Policy Paper.scr" podia ser lido. Ao
clicar em tal arquivo, um PDF seria aberto, enquanto um malware abria
uma porta para o computador host em segundo plano.
Uma vez que a porta estava aberta, o malware se conectava a
um blog WordPress criado pelos atacantes. A página continha o endereço
IP e o número da porta de um servidor de comando e controle que o
malware entraria em contato para fazer o download de um software
adicional.
Prevenção
O Dropbox é uma plataforma de lançamento de ataques
interessante porque funcionários de muitas empresas utilizam o serviço.
"As pessoas confiam no Dropbox", disse Barger.
Para as empresas que têm o serviço em sua whitelist, o
malware que se desloca por meio do Dropbox não é detectado pelos
sistemas de prevenção de intrusão de uma empresa. Além disso, as
comunicações com um blog WordPress provavelmente passaram despercebidas,
uma vez que isso não seria um comportamento incomum para qualquer
funcionário com acesso à Internet.
Em geral, nenhuma tecnologia pode prevenir esse tipo de ataque. "Não há um calcanhar de Aquiles aqui", disse Barger.
A melhor prevenção é para os profissionais de segurança
compartilhar informações quando suas empresas são alvo, para que outros
possam elaborar sua própria defesa, disse.
Vale lembrar que, no ataque ao New York Times, os crackers
invadiram sistemas do jornal em setembro de 2012 e atuaram por quatro
meses antes de serem detectados.
Via: IDG Now
Nenhum comentário:
Postar um comentário