De acordo com o relatório trimestral de tendências das ameaças persistentes avançadas (APT) da Kaspersky, foram identificadas uma série de operações direcionadas ou originadas no Oriente Médio e Coreia do Sul. Grande parte das atividades se concentraram em ciberespionagem ou no retorno financeiro, mas pelo menos uma campanha foi identificada disseminando falsas informações — as famosas fake news. Em maio, a Kaspersky analisou ainda os ativos de uma campanha de ciberespionagem que pareciam pertencer a um grupo iraniano e concluíram que o grupo responsável pelo vazamento pode ser o Hades, que está ligado ao worm ExPetr e ao ciberataque nas Olimpíadas de Inverno em 2018.
Estes destaques foram obtidos com base em fontes externas e em conclusões dos relatórios de Threat Intelligence que a empresa envia aos assinantes o seu serviço, que incluem também indicadores de comprometimentos (IOC) e regras YARA para auxiliar nas investigações e caça dos ataques maliciosos.
Durante o segundo trimestre deste ano, os pesquisadores da Kaspersky identificaram uma atividade interessante no Oriente Médio. Ela incluía uma série de vazamentos online de códigos, infraestrutura, dados de grupos e possíveis vítimas, supostamente realizados por cibercriminosos de idioma persa conhecidos: OilRig e MuddyWater. Os vazamentos vieram de fontes diferentes, mas com poucas semanas de diferença entre um e outro. O terceiro vazamento, que aparentemente expôs informações relacionadas à uma entidade chamada “Instituto RANA”, foi publicado em persa em um site chamado “Realidade Oculta”. A análise da Kaspersky sobre os materiais, infraestrutura e website dedicado, levou à conclusão de que esse vazamento poderia estar relacionado ao agente de ameaças Hades – mesmo grupo que estava por trás do incidente do Olympic Destroyer das Olimpíadas de Inverno de 2018, assim como o worm ExPetr, e várias campanhas de desinformação, como o vazamento em 2017 de e-mails relacionados à campanha eleitoral presidencial de Emmanuel Macron, na França.
Outras atividades adicionais de APT no segundo trimestre incluem:
• Grupos de língua russa continuam aperfeiçoando e lançando novas ferramentas e operações. Por exemplo, desde março, Zebrocy parece ter focado sua atenção em eventos, funcionários, diplomatas e militares relacionados ao Paquistão/Índia, além de manter acesso contínuo a redes locais e remotas do governo da Ásia Central. Os ataques do Turla continuaram a apresentar um conjunto de ferramentas em rápida evolução e, em um caso notável, o aparente sequestro da infraestrutura pertencente à OilRig;
• A atividade relacionada à Coreia foi alta; isso porque o resto do sudeste da Ásia registrou mais tranquilidade do que nos trimestres anteriores. Operações notáveis incluem um ataque do grupo Lazarus contra uma empresa de jogos para celular na Coreia do Sul e uma campanha do BlueNoroff, o subgrupo Lazarus, contra um banco localizado em Bangladesh e um software de criptografia monetária;
• Os pesquisadores também observaram uma campanha ativa visando agências governamentais na Ásia Central liderada pelo grupo chinês APT SixLittleMonkeys, usando uma nova versão do Trojan Microcin e um RAT que a Kaspersky chama de HawkEye.
“O segundo trimestre de 2019 mostra quão obscuro e confuso o cenário de ameaças se tornou e como algo pode não ser o que parece. Entre outras coisas, vimos um grupo especializado sequestrando a infraestrutura de um grupo menor e outro grupo aproveitando-se de uma série de vazamentos online para disseminar informação falsa e minar a credibilidade dos ativos expostos. O setor de segurança enfrenta uma tarefa crescente de olhar além do sigilo para encontrar dados e informações sobre ameaças nas quais a cibersegurança é baseada. Como sempre, é importante acrescentar que nossa visibilidade não está completa e que haverá atividades que ainda não estão no nosso radar ou que não entendemos completamente – por isso, a proteção contra ameaças conhecidas e desconhecidas permanece vital para todos”, afirma Vicente Díaz, principal pesquisador de segurança da Equipe Global de Análise e Pesquisa da Kaspersky.
Os documentos completos estão disponíveis apenas sob assinatura, para obter mais informações, contate: intelreports@kaspersky.com.
