Vídeo: Ataque cibernético à escala global: Governos e multinacionais afetados (Outubro 2024)
Uma operação de espionagem cibernética em andamento, chamada Safe, teve como alvo várias organizações em mais de 100 países com emails de spear phishing, descobriram os pesquisadores da Trend Micro.
A operação parece ter como alvo agências governamentais, empresas de tecnologia, meios de comunicação, instituições de pesquisa acadêmica e organizações não-governamentais, Kylie Wilhoit e Nart Villeneuve, dois pesquisadores de ameaças da Trend Micro, escreveram no Blog de Inteligência de Segurança. A Trend Micro acredita que mais de 12.000 endereços IP exclusivos espalhados por mais de 120 países foram infectados com o malware. No entanto, apenas 71 endereços IP, em média, se comunicavam ativamente com os servidores da C&C todos os dias.
"O número real de vítimas é muito menor que o número de endereços IP exclusivos", afirmou a Trend Micro em seu white paper, mas se recusou a especular sobre um número real.
Segurança depende de Spear Phishing
O Safe consiste em duas campanhas distintas de spear phishing, usando a mesma variedade de malware, mas usando diferentes infraestruturas de comando e controle, escreveram os pesquisadores no white paper. Os e-mails de spear phishing de uma campanha tinham linhas de assunto referentes ao Tibete ou à Mongólia. Os pesquisadores ainda não identificaram um tema comum nas linhas de assunto usadas na segunda campanha, que reivindicou vítimas na Índia, EUA, Paquistão, China, Filipinas, Rússia e Brasil.
O Safe enviou emails de spear phishing às vítimas e os induziu a abrir um anexo malicioso que explorava uma vulnerabilidade do Microsoft Office já corrigida, de acordo com a Trend Micro. Os pesquisadores encontraram vários documentos maliciosos do Word que, quando abertos, instalavam silenciosamente uma carga no computador da vítima. A vulnerabilidade de execução remota de código no Windows Common Controls foi corrigida em abril de 2012.
Detalhes da infraestrutura de C&C
Na primeira campanha, computadores de 243 endereços IP exclusivos em 11 países diferentes conectados ao servidor C&C. Na segunda campanha, computadores de 11.563 endereços IP de 116 países diferentes se comunicaram com o servidor C&C. A Índia parecia ser a mais direcionada, com mais de 4.000 endereços IP infectados.
Um dos servidores C&C foi configurado para que qualquer pessoa pudesse visualizar o conteúdo dos diretórios. Como resultado, os pesquisadores da Trend Micro foram capazes de determinar quem eram as vítimas e também baixar arquivos contendo o código-fonte por trás do servidor C&C e do malware. Observando o código do servidor C&C, parece que as operadoras redirecionaram o código fonte legítimo de um provedor de serviços de Internet na China, disse a Trend Micro.
Os invasores estavam se conectando ao servidor C&C por VPN e usando a rede Tor, dificultando o rastreamento da localização dos invasores. "A diversidade geográfica dos servidores proxy e VPNs dificultava a determinação de sua verdadeira origem", afirmou a Trend Micro.
Atacantes podem ter usado malware chinês
Com base em algumas pistas do código fonte, a Trend Micro disse que era possível que o malware fosse desenvolvido na China. Não se sabe até o momento se os operadores do Safe desenvolveram o malware ou o compraram de outra pessoa.
"Embora a determinação da intenção e da identidade dos invasores continue difícil, avaliamos que essa campanha é direcionada e usa malware desenvolvido por um engenheiro de software profissional que pode estar conectado ao submundo cibercriminoso na China", escreveram os pesquisadores no blog.
