Uma campanha de ataques cibernéticos, potencialmente voltada para a espionagem cibernética, está destacando a natureza cada vez mais sofisticada das ameaças cibernéticas que visam empresas de defesa nos EUA e em outros lugares.
A campanha secreta, que os investigadores da Securonix detectaram e estão a seguir como STEEP#MAVERICK, atingiu vários fornecedores de armas na Europa nos últimos meses, incluindo potencialmente um fornecedor do programa de caças F-35 Lightning II dos EUA.
O que torna a campanha digna de nota, de acordo com o fornecedor de segurança, é a atenção geral que o invasor prestou à segurança das operações (OpSec) e à garantia de que seu malware seja difícil de detectar, difícil de remover e difícil de analisar.
O stager de malware baseado em PowerShell usado nos ataques tem “apresentou uma série de táticas interessantes, metodologia de persistência, contra-análise e camadas e mais camadas de ofuscação para ocultar seu código”, disse Securonix em um relatório esta semana.
Capacidades incomuns de malware
A campanha STEEP#MAVERICK parece ter sido lançada no final do verão, com ataques a dois importantes empreiteiros de defesa na Europa. Como muitas campanhas, a cadeia de ataques começou com um e-mail de spearphishing que continha um arquivo compactado (.zip) com um arquivo de atalho (.lnk) para um documento PDF que supostamente descrevia os benefícios da empresa. A Securonix descreveu o e-mail de phishing como sendo semelhante ao encontrado em uma campanha no início deste ano envolvendo Grupo de ameaça APT37 (também conhecido como Konni) da Coreia do Norte.
Quando o arquivo .lnk é executado, ele aciona o que Securonix descreveu como uma “cadeia bastante grande e robusta de stagers”, cada um escrito em PowerShell e apresentando até oito camadas de ofuscação. O malware também apresenta amplos recursos anti-forenses e de contra-depuração, que incluem o monitoramento de uma longa lista de processos que podem ser usados para procurar comportamento malicioso. O malware foi projetado para desativar o registro e ignorar o Windows Defender. Ele usa diversas técnicas para persistir em um sistema, inclusive incorporando-se ao registro do sistema, incorporando-se como uma tarefa agendada e criando um atalho de inicialização no sistema.
Um porta-voz da equipe de pesquisa de ameaças da Securonix diz que o número e a variedade de verificações de antianálise e antimonitoramento que o malware possui são incomuns. O mesmo acontece com o grande número de camadas de ofuscação para cargas úteis e as tentativas do malware de substituir ou gerar novas cargas úteis de stager de comando e controle (C2) personalizadas em resposta a tentativas de análise: “Algumas técnicas de ofuscação, como o uso do PowerShell get- alias para executar [o cmdlet invocar-expressão] são vistos muito raramente.”
As atividades maliciosas foram realizadas de maneira consciente do OpSec, com diferentes tipos de verificações anti-análise e tentativas de evasão durante o ataque, em um ritmo operacional relativamente alto com cargas personalizadas injetadas.
“Com base nos detalhes do ataque, uma lição para outras organizações é prestar atenção extra ao monitoramento de suas ferramentas de segurança”, disse o porta-voz. “As organizações devem garantir que as ferramentas de segurança funcionem conforme o esperado e evitar depender de uma única ferramenta ou tecnologia de segurança para detectar ameaças.”
Uma ameaça cibernética crescente
A campanha STEEP#MAVERICK é apenas a mais recente de um número crescente que tem como alvo empreiteiros e fornecedores de defesa nos últimos anos. Muitas destas campanhas envolveram intervenientes apoiados pelo Estado que operam na China, Rússia, Coreia do Norte e outros países.
Em Janeiro, por exemplo, a Agência de Segurança Cibernética e de Infra-estruturas dos EUA (CISA) emitiu um alerta sobre intervenientes patrocinados pelo Estado russo que visavam os chamados contratantes de defesa autorizados (CDC) em ataques concebidos para roubar informações e tecnologia confidenciais de defesa dos EUA. O alerta da CISA descreveu os ataques como tendo como alvo uma vasta gama de CDCs, incluindo aqueles envolvidos no desenvolvimento de sistemas de combate, tecnologias de inteligência e vigilância, desenvolvimento de armas e mísseis, e design de veículos e aeronaves de combate.
Em Fevereiro, investigadores da Palo Alto Networks relataram que pelo menos quatro empreiteiros de defesa dos EUA foram alvo de uma campanha para distribuir um backdoor sem arquivo e sem soquete chamado SockDetour. Os ataques fizeram parte de uma campanha mais ampla que o fornecedor de segurança investigou juntamente com a Agência de Segurança Nacional em 2021, envolvendo um grupo chinês avançado e persistente que empreiteiros de defesa direcionados e organizações em vários outros setores.
Empreiteiros de defesa: um segmento vulnerável
A somar às preocupações com o volume crescente de ataques cibernéticos está a relativa vulnerabilidade de muitos fornecedores de defesa, apesar de terem segredos que devem ser bem guardados.
Uma pesquisa recente realizada pela Black Kite sobre as práticas de segurança dos 100 maiores empreiteiros de defesa dos EUA mostrou que quase um terço (32%) está vulnerável a ataques de ransomware. Isso se deve a fatores como credenciais vazadas ou comprometidas e práticas fracas em áreas como gerenciamento de credenciais, segurança de aplicativos e segurança da camada de soquetes de segurança/camada de transporte.
Setenta e dois por cento dos entrevistados no relatório Black Kite vivenciaram pelo menos um incidente envolvendo vazamento de credencial.
Pode haver luz no fim do túnel: O Departamento de Defesa dos EUA, em conjunto com as partes interessadas do setor, desenvolveu um conjunto de práticas recomendadas de segurança cibernética para empreiteiros militares usarem para proteger dados confidenciais. De acordo com o programa de Certificação do Modelo de Maturidade de Segurança Cibernética do DoD, os empreiteiros de defesa são obrigados a implementar essas práticas – e obter a certificação como as possuindo – para poder vender ao governo. As más notícias? O lançamento do programa foi adiada.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
