A França emitiu um aviso para alertar sobre as ameaças cibernéticas das operações de espionagem, direcionadas a prestadores de serviços terceirizados. As descobertas – publicadas pela Agência Nacional de Segurança de Sistemas de Informação (ANSSI) – baseiam-se na investigação de dois ataques distintos.
Um dos ataques envolve o uso do malware PlugX, e o outro depende de ferramentas presentes em sistemas operacionais, como o ProcDump e CertMig, para roubar credenciais. A ANSSI disse que esse trabalho de espionagem começou em 2017: “O principal dessas atividades parece ser a coleta de dados importantes, graças a e-mails de phishing e sites maliciosos”.
As ameaças, que foram vinculadas ao grupo de hackers norte-coreano conhecido como Kimsuky, têm como alvo uma ampla gama de entidades, incluindo órgãos diplomáticos pertencentes a países membros do Conselho de Segurança das Nações Unidas, como China, França, Bélgica, Peru e África do Sul.
As invasões
A ANSSI afirmou que os invasores obtêm acesso às redes das empresas ao explorar vulnerabilidades, como pontos de acesso ou e-mails, para capturar informações sensíveis. Ao entrar nos sistemas, eles obtêm privilégios elevados para que seja possível instalar malwares nos sistemas internos.
O PlugX é uma das ferramentas mais utilizadas para a invasão. Ele é um trojan de acesso remoto que possui recursos como upload, download e modificação de arquivos. Além de controlar câmeras e evitar detecções de segurança.
Para se proteger dessa prática, a ANSSI insistiu que os provedores de serviços configurem um sistema de autenticação de dois fatores, monitorem a rede em busca de conexões e concedam às entidades menores acesso limitado aos sistemas, para impedir que alguém consiga acessar os servidores vindo de meios externos.
O alerta da ANSSI ocorre quando ataques à cadeia de suprimentos estão se tornando uma maneira cada vez mais comum de se invadir sistemas e instalar malwares. Esse tipo de ataque se tornou muito comum para se extrair informações justamente pela vulnerabilidade de algumas empresas.
Os hackers usam como meio de entrada uma empresa menor, e que fornece serviços ao seu alvo principal. Ao invadir esse sistema, eles procuram uma ligação direta com a empresa que pretendem roubar informações. Após encontrar a falha, eles instalam malwares e outros programas nocivos para obter informações ou implantar vírus.
No final de setembro, a gigante aeroespacial Airbus foi alvo de uma série de ataques vindo de fornecedores de serviço. Acredita-se que os responsáveis estejam ligados à China em busca de segredos comerciais – mesmo o Ministério de Relações Exteriores do país tenha reforçado que a China não participou do ataque.
Via: The Next Web