McAfee descobre nova campanha de espionagem cibernética que usa código-fonte de grupo de hackers chinês

Pesquisa “Operação Oceansalt” revela evidências de ataques cibernéticos tendo como alvo a Coreia do Sul, os Estados Unidos e o Canadá, e agentes de ameaça que aproveitam inovações de outros criminosos

A McAfee, a empresa de cibersegurança que vai dos dispositivos à nuvem, anunciou no MPOWER 2018 um relatório de descoberta de uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.

Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.

O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew. Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.

A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataque usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul. Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.

Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.

“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”

Para baixar o relatório na íntegra, acesse https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf

Sobre a McAfee
A McAfee é a empresa de cibersegurança que vai dos dispositivos à nuvem. Inspirada pela força do trabalho conjunto, a McAfee cria soluções para empresas e consumidores diretos que tornam o mundo um lugar mais seguro. Criando soluções compatíveis com produtos de outras empresas, a McAfee ajuda as organizações a orquestrarem ambientes de cibersegurança altamente integrados, em que os processos de proteção, detecção e correção de ameaças ocorram de forma simultânea e colaborativa. Defendendo os clientes em todos os seus dispositivos, a McAfee protege sua vida digital dentro e fora de casa. Trabalhando com outras empresas de segurança, a McAfee conduz a iniciativa de unir esforços contra os criminosos cibernéticos visando o bem de todos. www.mcafee.com