Há evidências que sugerem que os hackers estão usando sites populares para atacar agências governamentais, ONGs e outros alvos espionagem cibernética com insurgências cada vez mais sutis. Isso de acordo com as conclusões de um novo relatório da empresa de segurança FireEye , que no mês passado revelou detalhes de uma campanha cibernética de dez anos travada fora da China contra as empresas em toda a Ásia . Novos galpões de expedição da empresa luz sobre um outro grupo de hacking baseada na China que usou populares Microsoft forum web TechNet para ativar malware que poderia conceder-lhe o acesso a rede interna de uma organização e, potencialmente, troves de dados privados remotamente.
O programa – executado por um grupo conhecido como APT17 – já foi fechado pela Microsoft e FireEye. Ele não pareceu constituir uma ameaça para os usuários regulares do site, em vez TechNet foi usado como um meio aparentemente legítimo através do qual o grupo poderia puxar as alavancas necessariamente para se infiltrar em um alvo. Em termos básicos, APT17 – que disse FireEye tem como alvo os gostos de agências governamentais, ONGs e empresas legais – seria inicialmente semear malware com um indivíduo dentro de uma organização de destino, talvez usando um arquivo malicioso entregue através de e-mail. Se o malware carregado com êxito, poderia ser acionado remotamente utilizando código que foi incorporado dentro de um comentário deixado no fórum TechNet. BLACKCOFFEE, o software que APT17 utilizado pelas suas ofensas, pode permitir que o grupo para realizar uma série de actividades, incluindo o upload e download de arquivos, que encerra os processos em uma máquina host e introduzindo outros comandos backdoor.
Embora os comentários si apareceu sem sentido e spam, que representavam um método mais dissimuladas de que estabelece um código de ativação sem atrair a atenção dos sistemas de segurança internos.
Incorporação endereços IP C2 codificados em um site como o TechNet, que é frequentemente visitado por profissionais de TI em todo o mundo, fez a detecção de atividades maliciosas mais desafiador do que o rastreamento ameaças de sites que tenham inteiramente comprometidos para fins nefastos. Em outras palavras, a visitar um site como o TechNet regularmente não é susceptível de levantar alarme como o tráfego regular para sites obscuros hospedados na Rússia, por exemplo.
“Esta ofuscação adicional coloca ainda outra camada entre APT17 e os profissionais de segurança que tentam persegui-los”, disse FireEye no seu relatório. Em última análise, FireEye contactado Microsoft, que trancou contas do grupo no TechNet, mas disse que esta estratégia – que “algumas empresas de segurança têm discutido publicamente” – é provável que se tornam mais comuns como técnicas de espionagem cibernética evoluir em sofisticação.
“As organizações precisam de uma nova tecnologia para detectar esses ataques”, Bryce Boland, da FireEye APAC CTO, disse TechCrunch em uma entrevista. O caso é um lembrete de que as organizações com “ambientes altamente críticos não devem permitir que as pessoas para receber conteúdo da internet.”
Mas o ônus não é apenas sobre as empresas para gerir a sua rede, Boland acrescentou, sites que permitem conteúdo gerado pelo usuário – incluindo as redes sociais – também deve ser cauteloso.
“Você olha para um monte de sites e o absurdo que as pessoas postam em seções de comentários, mas você já pensou que era tão ruim que poderia ser um atacante procurando uma intromissão?”, Acrescentou.
Fonte:http://tcrn.ch/1G9bdVp
IMAGEM DESTAQUE: TOMISLAV PINTER / SHUTTERSTOCK