Hackers invadiram ministérios de cinco países europeus antes do G20

Hackers possivelmente de origem chinesa teriam se infiltrado em computadores dos ministérios das relações exteriores de cinco países da Europa antes da reunião do G20, realizada em setembro deste ano. A informação foi divulgada pelos pesquisadores de segurança da FireEye, que mantiveram em sigilo o nome dos países atingidos.

Os pesquisadores da empresa de segurança fizeram uma avaliação da campanha de ataque, apelidada de Ke3chang, e ganharam acesso temporário a um dos servidores CnC (command-and-control) usado pelo grupo de hackers. Depois de ter invadido os computadores dos alvos, os hackers se moveram por redes internas infectando outros sistemas, diz o relatório da FireEye.

Os pesquisadores perderam o acesso ao servidor CnC que estavam monitorando antes dos atacantes começarem a extrair informações sensíveis dos computadores invadidos, uma fase operacional chamada de "data exfiltration", mas acreditam que essa era a meta final dos atacantes.

"Acreditamos que os atacantes do Ke3chang estão operando a partir da China e tem estado ativos desde 2010", escrevem os pesquisadores no relatório. Os atacantes usaram 23 diferentes servidores CnC e a FireEye teve acesso a um deles durante uma semana. Nesse período, os pesquisadores identificaram pelo menos 21 computadores comprometidos conectados ao servidor.

A campanha de ataque começou em agosto de 2013 e usou como isca uma série de e-mails de phishing contendo um anexo malicioso chamado US_military_options_in_Syria.zip. O anexo continha um arquivo executável que, quando aberto, instalava um programa do tipo backdoor que permitiu aos atacantes fazer o upload ou download de arquivos e controlar os sistemas comprometidos.

Os pesquisadores da FireEye acreditam que o uso de um tema ligado à Síria no ataque e o período em que foi desencadeado (um pouco antes do encontro G20 Summit em São Petersburgo) não foi coincidência. A reunião do G20 foi dominada por discussões sobre a guerra civil na Síria e uma potencial intervenção militar americana seguida do uso de armas químicas no conflito.

Ao longo dos anos, os mesmos atacantes alvejaram organizações ligadas a diversas atividades, desde aeroespacial, energia, governo, alta technologia, serviços de consultoria, química, manufatura e mineração, em diferentes campanhas. O número de vítimas no entanto não foi grande, o que sugere que o grupo seja muito seletivo no tipo de informação que está buscando.

Via: IDGNow