Página Inicial
  • Lista de Compras
  • Humor


twitter

Facebook

  Notícia
|

 

HACKERS USAM LINKEDIN PARA INICIAR OPERAÇÃO DE ESPIONAGEM INTERNACIONAL

6/17/2020

Empresas europeias dos setores militar e aeroespacial foram alvo de uma campanha complexa de roubo de informações que teria sido orquestrada por hackers ligados ao governo da Coreia do Norte. A operação de espionagem aconteceu entre os meses de setembro e dezembro do ano passado e teve o LinkedIn como um de seus principais vetores de infecção e acesso a redes internas.

In(ter)ception, ou Operação Interceptação. De acordo com o diretor de pesquisas em segurança da empresa, Jean-Ian Boutin, todo o processo começava com uma mensagem relativamente simples, mas bastante perigosa, envolvendo novas e polpudas ofertas de emprego para funcionários já atuantes nos setores, enviando arquivos para preenchimento que, na realidade, continham os malwares utilizados na operação de espionagem.

A pesquisa não revelou as empresas atingidas, mas indicou que os criminosos tentavam se passar por recrutadores de dois nomes reconhecidos do segmento militar: a Collins Aerospace e a General Dynamics, ambas portadoras de contratos governamentais e com forte atuação na iniciativa privada. Em todos os casos, pressões relacionadas a respostas rápidas e envio de informações para avaliação das propostas de emprego eram exercidas sobre os alvos, de forma que eles pensassem pouco antes de atenderem às solicitações.

Contato inicial com os alvos acontecia pelo LinkedIn, em nome de grandes empresas do setor e com ofertas interessantes de trabalho (Imagem: Reprodução/ESET)

“Esse é um comportamento padrão dos hackers, mas os indícios de se tratar de uma campanha maliciosa já aparecem nas mensagens iniciais”, explica Boutin, indicando a presença de erros de grafia no texto. Caso os supostos candidatos mordessem a isca, também receberiam indicações detalhadas sobre como lidar com os arquivos ou em quais aplicativos deveriam executá-los, o que também serve como indício de que o golpe se apoia em vulnerabilidades específicas.

 

O nome da campanha foi dado a partir do malware utilizado para a intrusão, que vem disfarçado como o arquivo Inception.dll. Ele se instala a partir de arquivos PDF que, na superfície, contêm listas de salários de acordo com cargo e indicações de vagas disponíveis nas empresas, mas escondia uma sequência de etapas de infecção para roubo de dados como contratos confidenciais e informações técnicas dos produtos das companhias que serviam de alvo.

Quando o contato não era possível por meio do LinkedIn, os hackers criavam contas de e-mail em domínios semelhantes aos das empresas supostamente interessadas nos candidatos, enviando mensagens em nome de executivos e membros reais dos setores de recursos humanos e diretoria destas companhias. As identidades eram as mesmas usadas nos perfis da rede social, enquanto os arquivos eram hospedados em contas básicas do OneDrive, o serviço de armazenamento em nuvem da Microsoft.

A insistência e o direcionamento na escolha de alvos são os principais indícios que apontam para uma operação a serviço governamental. Boutin explica que, por mais que não seja possível afirmar isso com certeza, o funcionamento da exploração traz similaridades com outras campanhas realizadas pelo Lazarus Group, uma quadrilha de hackers que esteve envolvida em outros casos ligados ao governo da Coreia do Norte, como o vazamento de e-mails da Sony Pictures, em 2014, ou um recente golpe no valor de US$ 80 milhões, praticado contra um banco de Bangladesh.

Existem similaridades em códigos, informações de programação, nomes de usuário e até variações de malware que ligam a campanha contra empresas militares europeias a tais casos. Apesar disso, evidências claras não puderam ser encontradas e, da mesma maneira, os criminosos conseguiram tornar sua atuação difusa o suficiente para que não seja possível nem mesmo descobrir quais eram os arquivos mais visados por eles.

Segunda etapa da campanha também visava a monetização da exploração, com documentos enviados a clientes dos alvos para pagamento. Tentativa falhou e levou à detecção da campanha (Imagem: Reprodução/ESET)

O especialista, entretanto, aponta para uma segunda etapa da campanha, que visava monetizar o acesso obtido às redes internas das empresas que foram alvo. Como forma de financiar as próprias operações, ou possíveis regimes para os quais trabalham, os hackers criaram contas de e-mail falsas e geraram documentos para pagamento, que eram enviados a clientes das empresas que serviam de alvo. Essa fase, entretanto, não foi bem-sucedida, já que a suspeita levou a um contato entre as partes e à descoberta da fraude.

A campanha é complexa, mas, segundo Doutin, carrega similaridades com outros casos conhecidos de fraude empresarial, o que facilita o combate. “É preciso informar os colaboradores sobre isso e garantir que eles conheçam os executivos com quem se comunicam”, afirma. Ele também dá outras dicas que envolvem o monitoramento da rede, em busca de acesso não-identificado ou autorizado, e o uso de soluções de segurança que bloqueiem a execução de arquivos maliciosos.

Ainda, o especialista indica que, quando possível, o ideal é bloquear o acesso a serviços de hospedagem na nuvem, já que essas plataformas costumam ser usadas para disseminação de malwares. Além disso, como sempre, é importante ter sistemas sempre atualizados, de forma que brechas conhecidas não possam ser exploradas de maneira maliciosa.

 

 

Fonte: CanalTEch

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar