A McAfee apresentou hoje durante a MPOWER 2018 um relatório anunciando a descoberta de uma nova campanha de espionagem cibernética visando a Coréia do Sul, Estados Unidos e Canadá.
A nova campanha usa um implante de reconhecimento de dados usado pela última vez em 2010 pelo grupo de hackers APT1, uma empresa de grupos militares chineses acusado de lançar ciberataques em mais de 141 empresas americanas de 2006 a 2010.
Os atores desta nova campanha não foram identificados; no entanto, eles reutilizavam o código de implantes vistos pela última vez em 2010 por Comment Crew, que conduziu operações de Cyber ofensiva contra os EUA apelidado de operação Seasalt. A nova campanha, que a McAfee nomeou operação Oceansalt, baseia-se na sua semelhança com Seasalt.
O relatório, “operação Oceansalt ataca a Coréia do Sul, EUA e Canadá com código fonte do grupo chinês hacker”, sugere que o desenvolvimento do implante Oceansalt não teria sido possível, a menos que os atores por trás dele tinha acesso direto ao código fonte Seasalt de 2010.
No entanto, a equipe de pesquisa avançada de ameaças da McAfee não encontrou nenhuma evidência de que o código-fonte da tripulação comment foi sempre tornado público, levantando a questão de quem é, em última análise, responsável pela Oceansalt.
A McAfee descobriu que a Oceansalt foi lançada em cinco “ondas” de ataque adaptadas aos seus alvos. A primeira e segunda ondas do ataque foram caça submarina baseado e começou com um documento malicioso idioma coreano Microsoft Excel criado e guardado em maio de 2018, agindo como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a acreditar que os alvos estavam relacionados a projetos de infraestrutura pública sul-coreano.
Uma terceira rodada de documentos maliciosos, desta vez no Microsoft Word, carregava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas com as finanças do fundo de cooperação inter-coreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coréia do Sul – incluindo os EUA e o Canadá – à medida que os atacantes expandiram seu escopo.
Quanto às implicações e impacto, esses ataques podem ser um precursor de um ataque muito maior, dado o controle que os atacantes têm sobre suas vítimas infectadas. Oceansalt dá aos atacantes o controle total de qualquer sistema que eles conseguem comprometer e da rede à qual ele está conectado. Dada a colaboração potencial com outros atores ameaça, consideravelmente mais ativos estão abertos e disponíveis para agir em cima.
“Esta pesquisa representa como os atores de ameaça estão continuamente aprendendo uns com os outros e construindo sobre as maiores inovações de seus pares”, disse Raj Samani, cientista-chefe da McAfee. “Quem é, em última análise, responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas agora tomar medidas e trazendo ataques à vida. A McAfee está focada nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem desses ataques.”
Fonte: Business Wire e McAfee
