Um grupo de hackers russos usaram um bug não revelado anteriormente da Microsoft para espionar o governo ucraniano e autoridades da Otan, disse que os pesquisadores de segurança.
 |
O grupo é composto por, aparentemente, os fãs da novela de ficção científica Duna ; seu malware fez várias referências ao clássico de Frank Herbert, eles ganham o apelido de "Sandworm Team."
Pesquisadores iSight acreditam que os sinais apontam para hackers russos, com base em uma variedade de informações, incluindo os seus objetivos, a informação que procuravam e várias pistas deixadas na infra-estrutura da campanha de ciberespionagem. (ISight não especificou que essas pistas foram.)
 |
Mas os pesquisadores têm o cuidado de observar que não existe evidência suficiente para dizer que o grupo é definitivamente apoiado pelo governo russo. Os hackers não estavam em busca de informações do mercado negro, porém, que normalmente indicaria cibercriminosos olhando para ganhar um lucro.
De acordo com muitos especialistas em segurança cibernética, a atribuição é a parte mais difícil do trabalho; nem todo mundo está convencido de que o grupo tem origens russas.
"Provando essa conexão é extremamente difícil", Alex Gostev, pesquisador de segurança da empresa russa Kaspersky Lab, disse.
Além disso, as pistas que levariam a supor origens russas poderia ser simplesmente falsas bandeiras.
Gostev acrescentou que "tirar conclusões sobre um traço" russo "com base nesta evidência é mal-aconselhado. Os arquivos e documentos que os cibercriminosos estão atrás de não fornecer provas suficientes de que para tirar conclusões definitivas, tampouco."
iSight não foi capaz de identificar quais os dados que os hackers acessaram, mas o bug Microsoft "praticamente garante que todas as entidades alvo vítima caiu em algum grau."
Os hackers usaram o que é chamado um bug 0-day um termo que tecnicamente refere-se a uma vulnerabilidade que ainda não foi corrigido - que afeta todas as versões do Windows (exceto para XP), bem como o malware off-the-shelf comumente usado por cibercriminosos chamado Black Energy.
De acordo com os pesquisadores da iSight, isso foi uma tentativa de enganar as vítimas e os que investigam os hackers. Observadores sem inteligência ou conhecimento suficiente pode "só acho que isso é apenas uma fraude run-of-the-mill ou spam ou 'DDoS bot' quando é realmente algo mais perigoso", disse Hultquist.
Microsoft divulgou um comunicado na terça-feira dizendo que planeja corrigir a vulnerabilidade. A empresa tomou conhecimento do bug do iSight há várias semanas, de acordo com os pesquisadores.
iSight não foi capaz de identificar quais os dados que os hackers acessaram, mas o bug Microsoft "praticamente garante que todas as entidades alvo vítima caiu em algum grau."
Os hackers usaram o que é chamado um bug 0-day um termo que tecnicamente refere-se a uma vulnerabilidade que ainda não foi corrigido - que afeta todas as versões do Windows (exceto para XP), bem como o malware off-the-shelf comumente usado por cibercriminosos chamado Black Energy.
De acordo com os pesquisadores da iSight, isso foi uma tentativa de enganar as vítimas e os que investigam os hackers. Observadores sem inteligência ou conhecimento suficiente pode "só acho que isso é apenas uma fraude run-of-the-mill ou spam ou 'DDoS bot' quando é realmente algo mais perigoso", disse Hultquist.
Microsoft divulgou um comunicado na terça-feira dizendo que planeja corrigir a vulnerabilidade. A empresa tomou conhecimento do bug do iSight há várias semanas, de acordo com os pesquisadores.
No início de setembro, a empresa finlandesa F-Secure detalhou táticas do grupo em um relatório que o grupo apelidado de "Quedagh", que faz referência a um navio indiano contratado por comerciantes armênios no final de 1600.
Pesquisadores da F-Secure chegou a conclusões ligeiramente diferentes iSight, dizendo que os hackers são como "corsários" digitais que normalmente trabalham para ganhar dinheiro, mas às vezes é pago para realizar campanhas de espionagem patrocinada pelo Estado.
"Eles costumavam roubar cartões de crédito e agora eles têm um tipo diferente de comprador", F-Secure pesquisador Sean Sullivan disse The Guardian.
Dada a sua história, este relatório provavelmente não fará com que o grupo a recuar. Pode mudar de infra-estrutura e algumas técnicas, mas eles não vão desaparecer, de acordo com pesquisadores da iSight.
"Essas pessoas raramente desistir dele", disse Hultquist, o gerente sênior da iSight.
Mas eles podem ter de abandonar uma coisa. "Eu não esperaria nenhuma Duna referências em seu malwares futuro", analista técnico iSightt de Drew Robinson disse PHiltonBrasil, rindo.
Tem algo a acrescentar a esta história? Compartilhe nos comentários.