Grupos de cibercriminosos geralmente usam ferramentas de malware personalizadas e proprietárias, além de meios sofisticados de ataque
Atualmente, ataques cibernéticos cada vez mais sofisticados são criados e aprimorados por grupos de hackers, geralmente usando ferramentas personalizadas direcionadas a pessoas, empresas e até países.
Ousados ataques cibernéticos fazem com que caixas eletrônicos nas ruas distribuam dinheiro de graça, por exemplo. As ações são geralmente realizadas por grupos dedicados que trabalham nas sombras dos estados onde são tolerados, encorajados ou até mesmo parte das ferramentas de inteligência dos próprios países.
Muitas vezes misterioso, é só graças à dedicação dos pesquisadores de segurança que agora sabemos um pouco sobre como esses grupos operam, detectando indícios de quem eles são, onde estão baseados, como operam e por quê.
Esses grupos tendem a operar no domínio da ameaça persistente avançada (APT), um termo bastante autoexplicativo para tentativas sofisticadas de invasão que estão continuamente em andamento, geralmente visando uma pessoa, empresa ou país.
Os grupos de APT usam variadas estratégias: eles poderiam estar conduzindo espionagem cibernética para informações políticas ou corporativas (geralmente em indústrias sensíveis ou órgãos do setor público), eles poderiam ser patrocinados pelo estado, poderiam ser diretamente uma função de um estado ou ser simplesmente tolerado dentro de um estado. Um grupo APT pode ser motivado financeiramente, envolvendo-se em cibercriminosos complexos, ou eles poderiam simplesmente querer espalhar desinformação e caos.
Os grupos geralmente usam ferramentas de malware personalizadas e proprietárias e possuem meios sofisticados de ataque. Muitas vezes, eles executam suas próprias (às vezes vastas) infra-estrutura de comando e controle, e deliberadamente dificultam a atribuição – ou mascarando a localização dos ataques ou como um meio de culpar outro culpado em potencial, em outras palavras, uma operação de “bandeira falsa”.
Os grupos APT são, por natureza, obscuros e misteriosos – mas graças ao trabalho árduo de pesquisadores na comunidade infosec, sabemos agora detalhes sobre alguns deles.
Conheça alguns dos mais perigosos grupos de hackers:
The Shadow Brokers
Era quase impossível vencer a ameaça do ransomware WannaCry em 2017. WannaCry e o que era então uma variante do ransomware Petya, a NotPetya, prejudicavam a infraestrutura e as empresas em todo o mundo.
Esses ataques foram baseados em uma exploração desenvolvida internamente pela Agência Nacional de Segurança (NSA) dos EUA, chamada EternalBlue, que explorou o protocolo Server Message Block da Microsoft (decidindo invadir essa exploração em vez de informar a Microsoft).
Um grupo chamado The Shadow Brokers obteve os arquivos da NSA em 2013, supostamente extraídos de um servidor de teste da NSA. Isso incluía informações sobre todos os tipos de explorações que a agência de espionagem mantinha.
O primeiro vazamento publicado do grupo foi em agosto de 2016, um esconderijo de armas cibernéticas que ele atribuiu ao ‘Equation Group’ – uma organização que se acredita estar baseada nos EUA, possivelmente por trás do infame código Stuxnet que destruiu as centrífugas nucleares do Irã. sugeriu também ter laços com a NSA.
Quatro vazamentos depois e foi “EternalBlue” – o ataque baseado em SMB em que WannaCry e Petya foram construídos, causando mais de 200 mil infecções em todo o mundo nas primeiras duas semanas de seu lançamento. O grupo afirma ter acesso a mais armas e exploits, e anteriormente ameaçou a liberação de novos materiais todos os meses.
Ninguém sabe ao certo onde o grupo Shadow Brokers se origina, mas as teorias incluem um insider dentro do grupo “Operações de acesso sob medida” da NSA.
O denunciante da NSA, Edward Snowden, disse que “a sabedoria convencional indica responsabilidade russa” – acrescentando que ele acreditava que os lançamentos eram um aviso para os EUA.
“Este vazamento parece com alguém enviando uma mensagem de que uma escalada no jogo de atribuição pode ficar confusa”, ele twittou.
Lazarus Group
O misterioso Grupo Lazarus poderia estar por trás do assalto a US$ 81 milhões do Banco Central do Bangladesh em 2016. Não se sabe muito sobre esta organização, quem está nela ou de onde ela opera, mas o fornecedor de segurança Kaspersky fez com que seus pesquisadores tentassem rastrear o grupo obscuro por mais de um ano.
Descobriu da “análise forense de artefatos” que o grupo deixou em ataques aos bancos do sudeste asiático e europeus um “profundo entendimento” do grupo e como ele opera – observando que atacou instituições financeiras, cassinos, desenvolvedores de software e empresas de criptomoeda ao redor do mundo.
A anatomia típica de um ataque de Lazarus, segundo Kaspersky, vem em quatro etapas. O primeiro é o comprometimento inicial em que um único sistema em um alvo é violado com código remotamente acessível ou por meio de uma exploração plantada em um site. Um funcionário faz o download do malware, permitindo que o grupo coloque outros malwares no sistema comprometido.
Então, os hackers do Lazarus migravam para outros hosts do banco e colocavam backdoors por toda a organização. Depois disso, ele realizaria uma missão de reconhecimento para aprender e mapear a rede, sinalizando recursos internos valiosos, como servidores de backup com credenciais ou informações de autenticação armazenadas nela.
Por fim, o grupo implanta malwares especialmente desenvolvidos para burlar a segurança da vítima e, em seguida, faz transações.
Ninguém sabe ao certo de onde Lazarus opera. No entanto, estudando uma coleção de amostras de malware, o Kaspersky encontrou uma conexão estranha com um servidor de comando e controle – durando apenas um momento – de um endereço IP “muito raro” na Coreia do Norte.
Equation Group
Creditado pela Kaspersky com a duvidosa honra de “criador da coroa da espionagem cibernética”, o Equation Group refere-se à sombria Unidade de Operações de Acesso Sob Medida da NSA.
O grupo ficou famoso por ter sido associado ao Stuxnet, um ataque altamente sofisticado (especialmente em sua época) que destruiu com sucesso as centrífugas nucleares do Irã, embora suspeite que a unidade tenha informado o ataque em vez de tê-lo perpetrado.
Segundo a Kaspersky, o grupo é “único em quase todos os aspectos de suas atividades” – usando ferramentas que são extremamente complicadas e caras de desenvolver, bem como exfiltrar dados e ocultar seu trabalho de uma maneira “excepcionalmente profissional”.
Como mencionado na entrada do Shadow Brokers – alguns dos ataques cibernéticos mais prejudiciais que o mundo já viu se originaram de uma única exploração da NSA. O grupo tem uma extensa biblioteca de trojans que são conhecidos e provavelmente muitos outros que não são.
E parece usar métodos de espionagem mais tradicionais para entrar nos sistemas de vítimas também, em uma instância interceptando um CD-ROM que estava sendo enviado aos participantes de uma conferência de ciências em Houston, e substituindo-o por uma cópia que foi infectado com o worm DoubleFantasy do grupo.
O grupo mantém uma grande infraestrutura de servidores de comando e controle, localizada em mais de 100 servidores e 300 domínios, incluindo hosts em países como EUA, Reino Unido, Panamá, Costa Rica, Colômbia, Alemanha e Holanda.
Suas vítimas parecem ser altamente visadas, incluindo (mas não limitadas a) instituições governamentais e diplomáticas, telecomunicações, aeroespacial, energia, pesquisa nuclear, petróleo e gás, militares, nanotecnologia, ativistas e acadêmicos islâmicos, mídia, transporte, finanças e empresas que trabalham com criptografia.
Carbanak/Fin7
Um grupo de código-fonte chamado Carbanak era procurado por agências de policiamento internacional há pelo menos cinco anos, devido ao sucesso de roubar US$ 1 bilhão de uma série de roubos cibernéticos e redes de caixas eletrônicos hackeadas.
Em março de 2018, a Europol acreditou ter apontado o líder da notória gangue, ainda sem nome, para prender a figura em Alicante, na Espanha, depois de uma investigação internacional conjunta.
Carbanak (também apelidado de Fin7) enviou campanhas de phishing altamente direcionadas – em outras palavras, spear phishing – para enganar os funcionários do banco a fazer o download de malware. Desde o final de 2013, a gangue usou seu próprio tipo de malware, Anunak e Carbanak, e depois utilizou uma versão modificada do software de testes de segurança chamado Cobalt Strike, relata a Fortune.
Os primeiros alvos foram principalmente na Rússia, mas depois passou para os EUA, Alemanha, China e Ucrânia.
Eles atacaram bancos em mais de 40 países, contabilizando afetivamente um crime de roubo cibernético de uma gangue. O ataque de cobalto modificado permitiu a Carbanak roubar até € 10 milhões por assalto.
Seus engenhosos hackers de caixa eletrônico permitiram que o grupo instruísse os caixas eletrônicos a distribuir moeda sem sequer interagir com o terminal. Este seria então recolhido por mulas que o transferiram para a rede financeira SWIFT, e daí para as contas dos atacantes.
A FireEye observou que o grupo apontou sua campanha de phishing na Comissão de Valores Mobiliários dos EUA.
APT37/Reaper
De acordo com extensa pesquisa do fornecedor de segurança americano FireEye, uma unidade de espionagem baseada na Coreia do Norte (Advanced Persistent Threat 37 – apelidada de Reaper) aumentou suas operações no início de 2018 e continua em missões de reconhecimento visando estados-nação e organizações adjacentes ao estado.
Em 2017, o grupo teve como alvo uma empresa do Oriente Médio que estava trabalhando com a Coreia do Norte em um projeto conjunto para aumentar os serviços de telecomunicações no país. Ele também se aperfeiçoou em uma empresa de comércio vietnamita e até em indivíduos que trabalham em organizações olímpicas.
A FireEye afirma que, além das operações de espionagem baseadas no estado-nação, também tem como alvo desertores da RPDC, sugerindo que está estreitamente afiliada ao país.
Os invasores “Reaper” usaram vulnerabilidades no processador de texto Hangul, que é amplamente usado na RoK – Coreia do Sul. Além disso, ele tinha um cache de zero dias e os usava em spear phishing e “operações de comprometimento da Web”, de acordo com a FireEye.
A infraestrutura de comando e controle fez uso de servidores comprometidos, bem como provedores de serviços em nuvem, para atribuição indecorosa e evitar a detecção, e também colocou cargas de malware em sites comprometidos, porém legítimos. As contas de e-mail usadas para aproveitar os ataques evoluíram de domínios associados à Coreia do Sul para outros provedores, como o Gmail, e serviços russos, como o Yandex.
A FireEye diz que avaliou com “alta confiança” que o grupo age “em apoio ao governo norte-coreano e está baseado principalmente na Coreia do Norte”. Os pesquisadores chegaram a essa conclusão por várias razões, de que o grupo estava almejando até “provavelmente links para um indivíduo norte-coreano que acredita-se ser o desenvolvedor de várias famílias proprietárias de malware da APT37”.
Iron Tiger APT
Possivelmente emergindo de uma série de ataques sofisticados e altamente direcionados na região Ásia-Pacífico, concentrando-se em políticos e agências governamentais na China, Hong Kong, Filipinas e Tibete, o grupo apelidado de “Iron Tiger” teria se voltado para alvos em América, incluindo contratados do governo dos EUA na indústria aeroespacial, energia, inteligência, telecomunicações e nuclear.
Um relatório da Trend Micro sugeriu que os ataques se originaram da China porque os servidores VPN usados para iniciar os ataques eram baseados principalmente na região, os nomes de arquivos e senhas usados eram chineses, recursos de texto e ID de idioma em binários de malware definidos como chineses simplificados. Os dados Whois apontavam para domínios registrados em endereços físicos na China. O vendedor também apontou o dedo para uma pessoa chamada Guo Fei, um morador de Xangai, que acreditava ser fundamental para o sucesso do grupo.
O BitDefender em fevereiro de 2018 descobriu variantes do trojan Gh0st RAT usado na operação Iron Tiger para novos ataques marcados pela primeira vez em julho de 2017 – um malware personalizado chamado PZChao, sugerindo um potencial retorno do grupo que ficou quieto por vários anos.
Fancy Bear/APT28
Nenhuma lista de grupos avançados de ameaças persistentes estaria completa sem o “Fancy Bear”, que teria desempenhado papel importante na invasão do Comitê Nacional Democrata dos EUA na corrida para as eleições americanas (embora isso tenha sido contestado por “Guccifer 2.0”, que levou crédito).
O grupo, diz CrowdStrike, está em cena desde 2008 e tem como alvo todos os setores sensíveis usuais – defesa, energia, governo e mídia – bem como dissidentes. Acredita-se que seja, no mínimo, patrocinado pelo estado, com os fornecedores observando que o provável culpado é a Rússia.
É capaz de executar operações simultâneas ao mesmo tempo e criou suas próprias ferramentas de implantes, bem como droppers, que são sistemas operacionais cruzados e podem ser apontados para dispositivos móveis também.
A Fancy Bear estava ligada a ataques ao parlamento alemão, bem como a campanhas para sequestrar o tráfego de entrada para um site do governo nigeriano. O grupo também desenvolveu malware para os dispositivos da Apple, que era capaz de ler mensagens de texto e secretamente gravar áudio – uma ferramenta de espionagem útil no arsenal de qualquer país.
Fonte: http://idgnow.com.br/internet/2018/06/27/conheca-7-dos-grupos-hackers-mais-perigosos-do-mundo/