Sábado, 27 Novembro 2021

​Mais grupos hackers e os proxywares

O grupo de código-fonte chamado de Carbanak teve seu líder apontado em março de 2018. Ele estaria em Alicante, na Espanha, e a Europol queria prendê-lo depois de uma investigação internacional conjunta, pois este grupo teria roubado US$ 1 bilhão em uma série de ataques cibernéticos com redes de caixas eletrônicos que foram hackeados.

Este grupo, também conhecido como Fin7, fez uma série de envios de phishings, que são altamente direcionados, chamados de spear phishing, que serviam para enganar funcionários de bancos que acabavam fazendo o download do malware enviado pelo grupo hacker.

O grupo, posteriormente, já no final de 2013, passou a usar seu próprio malware, que é o Anunak e o Carbanak, para depois utilizar uma versão de software de testes de segurança chamado Cobalt Strike, já sob uma forma modificada.

No caso dos caixas eletrônicos, o grupo usou hackers que instruíam estes a distribuir dinheiro sem interação com o terminal, sendo o dinheiro recolhido por mulas que transferiam a quantia para a rede financeira SWIFT, para depois encaminhar para as contas dos hackers.

Já no caso do Reaper, estaria localizado na Coreia do Norte, que aumentou as suas operações a partir do início de 2018. Este grupo fez operações como tomar por alvo uma empresa do Oriente Médio que trabalhava na Coreia do Norte, para aumentar os serviços de telecomunicações norte-coreanos.

O grupo hacker também se aperfeiçoou em uma empresa de comércio vietnamita e em indivíduos que trabalhavam em organizações olímpicas. No caso de espionagens baseadas em estado-nação, por sua vez, os alvos seriam desertores políticos da Coreia do Norte.

A infraestrutura de comando e controle explorou servidores comprometidos, também se utilizando dos serviços em nuvem, e cargas de malware em sites comprometidos, embora legítimos. As contas de e-mail usadas para propagar os ataques se expandiram do Coreia do Sul para outros provedores, no Gmail, e serviços na Rússia, como o Yandex. O grupo age com apoio do governo norte-coreano e tem base sobretudo na Coreia do Norte.

O Iron Tiger, por sua vez, é um grupo que começou com ataques na região da Ásia do Oceano Pacífico, como na China, Hong Kong, Filipinas e Tibete, para depois se voltar para alvos na América, incluindo áreas da indústria aeroespacial, inteligência, telecomunicações, nuclear e de energia dos Estados Unidos.

A Trend Micro fez um relatório que sugeriu que os ataques vieram de servidores VPN baseados principalmente na China, com nomes, arquivos e senhas chineses, e também recursos de texto e ID de idioma em binários de malware, que são definidos como chineses simplificados. Por sua vez, se soube que tudo vinha de domínios com registro físico na China.

Já o Fancy Bear atua desde 2008 e teve papel importante no ataque do Comitê Nacional Democrata dos Estados Unidos durante as eleições, o que foi contestado por Guccifer 2.0, que levou crédito pela autoria do ataque.

Os alvos do Fancy Bear passam por mídia, defesa, energia e o governo, e se atribui os ataques como de origem russa, com ferramentas próprias de implantes e droppers, estes que são sistemas operacionais cruzados. O grupo também fez ataques ao parlamento alemão, e desenvolveu malware para dispositivos da Apple.

Por fim, existe uma outra modalidade de ataque virtual que se utiliza de proxywares, que se refere a hackers que atuam vendendo banda de internet de vítimas e que podem monetizar os seus ataques com uso de plataformas de compartilhamento de internet, o chamado proxyware, que podem ser o Honeygain e o Nanowire, por exemplo, dentre outros.

Os proxywares são serviços legítimos que dividem conexão de internet com outros dispositivos, incluindo firewalls e programas antivírus. Os serviços, contudo, estão sendo usados para obtenção de lucro passivo em nome de ataques virtuais e de desenvolvedores de malware.

No Honeygain, por exemplo, é possível monitorar a atividade DNS de outros usuários desta plataforma, e através da manipulação de conteúdo não criptografado recuperado, como os de HTTP, pode haver interceptação, criando um cenário vulnerável aos ataques. Os malwares distribuídos atuam sob disfarce de instaladores legítimos para aplicativos como este do Honeygain.

Estes malwares se tratam de instaladores com Trojans que permitem a entrada de ameaças como RATs, que roubam informações, e também pode haver a monetização de largura de bandas de vítimas, ou ainda casos em que o malware poderia usar o CPU da vítima para mineração de criptomoedas. Também ocorrem malwares que criam um conjunto completo de monetização, e que usam o minerador XMRig e roubam informações.

(continua)

Gustavo Bastos, filósofo e escritor.
Blog
: http://poesiaeconhecimento.blogspot.com

Veja mais notícias sobre Colunas.

Veja também:

 

Comentários:

Nenhum comentário feito ainda. Seja o primeiro a enviar um comentário
Visitante
Sábado, 27 Novembro 2021

Ao aceitar, você acessará um serviço fornecido por terceiros externos a https://www.seculodiario.com.br/