Um grupo de espionagem cibernética não divulgado anteriormente está usando técnicas inteligentes para violar redes corporativas e roubar informações relacionadas a fusões, aquisições e outras grandes transações financeiras – e eles conseguiram permanecer indetectados pelas vítimas por períodos de mais de 18 meses.
Detalhado por pesquisadores de segurança cibernética da Mandiant, que a chamou de UNC3524, a operação de hackers está ativa desde pelo menos dezembro de 2019 e usa uma variedade de métodos avançados para se infiltrar e manter a persistência em redes comprometidas que a diferenciam da maioria dos outros grupos de hackers. Esses métodos incluem a capacidade de reinfectar ambientes imediatamente após a remoção do acesso. Atualmente, não se sabe como o acesso inicial é obtido.
Uma das razões pelas quais o UNC3524 é tão bem-sucedido em manter a persistência nas redes por tanto tempo é porque ele instala backdoors em aplicativos e serviços que não suportam ferramentas de segurança, como antivírus ou proteção de endpoint.
VEJO: Uma estratégia vencedora para a cibersegurança (relatório especial ZDNet)
Os ataques também exploram vulnerabilidades em produtos da Internet das Coisas (IoT), incluindo câmeras de sala de conferência, para implantar um backdoor em dispositivos que os ligam a uma botnet que pode ser usada para movimentação lateral nas redes, fornecendo acesso a servidores.
A partir daqui, os invasores podem se firmar nas redes do Windows, implantando malware que quase não deixa rastros, enquanto também exploram os protocolos internos do Windows, o que ajuda o grupo a obter acesso a credenciais privilegiadas para o Microsoft Office 365 da vítima. ambiente de email e servidores Microsoft Exchange.
Essa combinação de dispositivos IoT não monitorados, malware furtivo e exploração de protocolos legítimos do Windows que podem passar por tráfego regular significa que o UNC3524 é difícil de detectar – e é também por isso que os responsáveis pelos ataques conseguiram permanecer nas redes das vítimas por períodos significativos de tempo sem serem identificado.
“Ao direcionar sistemas confiáveis em ambientes de vítimas que não suportam nenhum tipo de ferramenta de segurança, o UNC3524 conseguiu permanecer indetectável em ambientes de vítimas por pelo menos 18 meses”, escreveram pesquisadores da Mandiant.
E se seu acesso ao Windows fosse de alguma forma removido, os invasores quase imediatamente voltavam para continuar a espionagem e a campanha de roubo de dados.
UNC3524 concentra-se fortemente em e-mails de funcionários que trabalham em desenvolvimento corporativo, fusões e aquisições, bem como grandes transações corporativas. Embora isso possa parecer uma motivação financeira para os ataques, o tempo de permanência de meses ou até anos dentro das redes leva os pesquisadores a acreditar que a verdadeira motivação dos ataques é a espionagem.
Os pesquisadores da Mandiant dizem que algumas das técnicas usadas pelo UNC3524 uma vez dentro das redes se sobrepõem a grupos de espionagem cibernética baseados na Rússia, incluindo APT28 (Fancy Bear) e APT29 (Cozy Bear).
No entanto, eles também observam que atualmente “não podem vincular conclusivamente o UNC3524 a um grupo existente”, mas enfatizam que o UNC3524 é uma campanha de espionagem avançada que demonstra um alto nível de sofisticação raramente visto.
“Ao longo de suas operações, o agente de ameaças demonstrou segurança operacional sofisticada que vemos apenas um pequeno número de agentes de ameaças demonstrar”, disseram eles.
Uma das razões pelas quais o UNC3524 é tão poderoso é porque ele tem a capacidade de permanecer furtivamente sem ser detectado com a ajuda da exploração de ferramentas e softwares menos monitorados. Os pesquisadores sugerem que a melhor oportunidade de detecção continua sendo o registro baseado em rede.
Além disso, como os ataques procuram explorar dispositivos e sistemas IoT não seguros e não monitorados, sugere-se que “as organizações tomem medidas para inventariar seus dispositivos que estão na rede e não suportam ferramentas de monitoramento”.
MAIS SOBRE CIBERSEGURANÇA
source – www.zdnet.com
