Hackers usavam exploit em documentos Word para roubarem dados na Índia

Em 21 ago 2015 - 3:01pm por redação
Hackers usavam exploit em documentos Word para roubarem dados na Índia

Um grupo de hackers, suspeito de operar da China, tem obtido sucesso ao roubar informações da maioria de seus alvos na Índia, muitas vezes relativas a disputas fronteiriças e a questões comerciais, de acordo com a empresa de segurança FireEye.

A gangue é especializada em enviar e-mails com phishing para vítimas na esperança de ganhar maior acesso para suas redes, uma prática conhecida como “lança-phishing”, explicou Bryce Boland, CTO da empresa de segurança para a região da Ásia. 

A FireEye ainda não deu um nome ao grupo, mas informou que o tem acompanhado desde 2011.

A companhia reuniu dados sobre o grupo baseados em tentativas de ataques contra seus clientes. Análises da infraestrutura de Internet usada pelos hackers, incluindo servidores command-and-control, deram o insight dentro do escopo de suas operações, disse Boland. 

“Em alguns casos, nós encontramos não apenas em nossos clientes, mas muitas organizações que são colocadas como alvo e  violadas ativamente”, disse.

Alguns dos últimos e-mails contendo phishing tinham um documento Word, da Microsoft, anexo, informou Boland. O documento, no caso, continha um exploit para uma vulnerabilidade – já consertada – no programa, datada de 2012.

A vulnerabilidade é “realmente antiga”, disse Boland. Ainda assim, é eficiente se organizações não tiverem atualizado o programa. 

 “Na maioria das vezes, grande parte dos governos ao redor da Ásia contam com pouca maturidade quando o assunto é cibersegurança”, disse. “Eles são menos eficientes hoje em gerenciamento de patches”.

Uma vez que um usuário é comprometido, o grupo de hackers usa um script, apelidado de WATERMAIN, que utiliza o Windows Management Instrumentation (WMI) para explorar computadores e a rede.

 O WMI é uma ferramenta poderosa usada por administradores e pode ser usada para pesquisar máquinas através da rede, distribuir o software em questão e executar documentos. 

Não há com certa frequência muito logging e monitoramento de atividade do WMI dentro das organizações, tornando seu acesso uma vantagem para hackers, explicou Boland. 

O grupo também teve como alvo mais de 100 instituições, das quais 70 se encontram na Índia. Mas o grupo também comprometeu alvos no Paquistão, Nepal e Bangladesh. 

Boland disse que a FireEye decidiu revelar a informação para mostrar que corporações na Ásia também estão sujeitas a esse tipo específico de ataques. 

Geralmente, quando a FireEye anuncia informações como essas, hackers tendem a mudar suas táticas com o objetivo de parecerem menos óbvios. Segundo Boland, a expectativa é que o próprio grupo se reconhecerá após o anúncio, uma vez que não há muitos deles que usam o WMI como parte de seus ataques.

“Eu acredito que eles saberão que nós o pegamos”, disse. 

Ter de mudar as estratégias vêm com um preço, entretanto, da mesma forma eleva os custos de operação de cibercriminosos, o que é algo bom. 

“Nós queremos forçá-lo a investir”, pontua Boland.  

 

Comentários no Facebook