Uma campanha de espionagem cibernética não descoberta anteriormente usando malware nunca antes visto está se infiltrando em empresas aeroespaciais e de telecomunicações globais em uma operação altamente direcionada que está ativa desde pelo menos 2018, mas permaneceu completamente sob o radar até julho deste ano.
A campanha é obra de um grupo de hackers iraniano recém-divulgado chamado MalKamak, que foi detalhado pela empresa de cibersegurança Cybereason Nocturnusque o descobriu após ser chamado por um cliente para investigar um incidente de segurança.
Apelidada de Operação GhostShell, o objetivo da campanha de espionagem cibernética é comprometer as redes de empresas dos setores aeroespacial e de telecomunicações para roubar informações confidenciais sobre ativos, infraestrutura e tecnologia. Os alvos – que não foram divulgados – são predominantemente no Oriente Médio, mas com vítimas adicionais nos Estados Unidos, Europa e Rússia. Cada alvo parece ter sido escolhido a dedo pelos atacantes.
VEJO: Os invasores de ransomware visaram esta empresa. Então os defensores descobriram algo curioso
“Este é um tipo de ataque muito, muito direcionado”, disse Assaf Dahan, chefe de pesquisa de ameaças da Cybereason, ao ZDNet. “Só conseguimos identificar cerca de 10 vítimas em todo o mundo.”
O MalKamak distribui um trojan de acesso remoto (RAT) anteriormente não documentado, conhecido como ShellClient, projetado para espionagem – e é por isso que permaneceu sem ser detectado por três anos. Uma das razões pelas quais o malware permaneceu tão eficaz é porque os autores se esforçaram muito para torná-lo furtivo o suficiente para evitar antivírus e outras ferramentas de segurança. O malware recebe atualizações regulares para que continue assim.
“Cada iteração, eles adicionam mais funcionalidade, adicionam diferentes níveis de discrição”, disse Dahan.
O ShellClient até começou a implementar um cliente Dropbox para comando e controle em redes de destino, dificultando a detecção porque muitas empresas podem não perceber ou pensar muito em outra ferramenta de colaboração em nuvem realizando ações, se é que notam.
Faz parte do plano usar o trojan para monitorar sistemas, roubar credenciais de usuários, executar comandos secretamente em redes e, por fim, roubar informações confidenciais. Cada máquina infectada recebe um ID exclusivo para que os invasores possam acompanhar seu trabalho durante as semanas e os meses em que estão bisbilhotando as redes comprometidas.
“Assim que entram, eles começam a conduzir um amplo reconhecimento da rede. Eles mapeiam os ativos importantes – as joias da coroa que eles buscariam, servidores-chave como o Active Directory, mas também servidores de negócios que contêm o tipo de informação que eles estão atrás”, disse Dahan.
A campanha permaneceu sem ser detectada com sucesso até julho, quando os pesquisadores foram chamados para investigar um incidente. É possível que os invasores tenham confiado demais em suas táticas e exagerado, deixando evidências que permitiram aos pesquisadores identificar a campanha e o malware implantado.
“De acordo com o que estamos vendo, no ano passado, eles aceleraram o ritmo. Às vezes, quando você é mais rápido, pode ser um pouco desleixado ou simplesmente haverá mais instâncias que seriam detectadas”, explicou Dahan.
A análise das ferramentas e técnicas de MalKamack levou os pesquisadores a acreditar que os ataques foram obra de uma operação de hackers trabalhando no Irã, já que uma das ferramentas que o ShellClient RAT usa para ataques de despejo de credenciais é uma variação do SafetKatz, que foi vinculado a ataques iranianos anteriores. campanhas. A segmentação de empresas de telecomunicações e aeroespaciais que operam no Oriente Médio também se alinha com os objetivos geopolíticos do Irã.
VEJO: Uma estratégia vencedora para cibersegurança (reportagem especial do ZDNet)
Mas, embora existam semelhanças com operações conhecidas de ciberespionagem apoiadas pelo Estado iraniano, incluindo Chafer (APT39), que usa técnicas semelhantes para atingir vítimas no Oriente Médio, EUA e Europa, bem como Agrius APT, que compartilha semelhanças no código de malware, os pesquisadores acreditam que MalKamack é uma nova operação cibernética iraniana – embora provavelmente tenha conexões com outras atividades patrocinadas pelo estado.
Os pesquisadores também acreditam que a Operação GhostShell permanece ativa e que o MalKamack continuará a evoluir como conduz ataques para continuar roubando informações dos alvos. Atualmente, não se sabe como os invasores obtêm acesso inicial à rede, mas existe a possibilidade de que seja por meio de ataques de phishing ou da exploração de vulnerabilidades não corrigidas.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
source – www.zdnet.com
