McAfee identifica campanha global de cibercrime que tem como alvo infraestrutura crítica de defesa

13 de Dezembro de 2018

Ameaça tem como alvo empresas nucleares, financeiras, de defesa e de energia

Crédito: integreti

A equipe de pesquisadores da McAfee, empresa de segurança cibernética, identificou, através do McAfee® Global Threat Intelligence, uma nova ameaça global que tem como alvo companhias de setores críticos como energia, energia nuclear, financeiro e de defesa. A entrada seria por meio de anúncios de vagas de trabalho no setor.

Batizada de "Operação Sharpshooter", a campanha utiliza um implante na memória para baixar e recuperar um implante de segundo estágio, chamado pela McAfee de Rising Sun, para explorar ainda mais os atacados. Para atingir essa finalidade, a campanha adota um disfarce de uma legítima atividade de seleção para vagas de trabalho no setor.

Segundo a telemetria e análise dos profissionais da McAfee, entre outubro e novembro deste ano o ataque foi verificado em 87 organizações ao redor do mundo, principalmente nos EUA. Com base em outras campanhas de comportamento similar, a maior parte das organizações visadas tem o inglês como idioma principal ou tem um escritório regional com esse idioma como prioritário.

Esse agente usou o recrutamento como isca para coletar informações sobre indivíduos de interesse ou organizações que gerenciam dados relacionados aos setores de interesse. A equipe McAfee Advanced Threat Research constatou que a maioria dos alvos foram organizações de defesa e organizações relacionadas a repartições governamentais.

De acordo com a análise da McAfee, o implante Rising Sun, utiliza o código-fonte do Trojan Duuzer de backdoor, desenvolvido pelo Lazarus Group em 2015 (a quem se atribuiu a coordenação do ataque WannaCry), com uma nova estrutura para se infiltrar nesses setores.

As ligações da Operação Sharpshooter ao Lazarus Group, segundo os pesquisadores, parecem óbvias para concluir de imediato que o temido grupo seja responsável, indicando possíveis sinais falsos. É comum que cada grupo de ataque tenha suas próprias características, por isso, a análise se concentra como esses criminosos cibernéticos operam, o impacto global que causariam e como detectar o ataque.