MOÇAMBIQUE ESTÁ NA LISTA DOS HACKERS CHINESES

0
caixa eletronico russia x

caixa eletronico russia x

Investigadores da Check Point identificaram e bloquearam uma operação de cibervigilância que visava um dado governo do sudeste asiático. Os atacantes desenvolveram um novo backdoor para Windows, posteriormente incluído em documentos maliciosos, enviados via e-mail a membros do Ministério dos Negócios Estrangeiros que pensavam estar a comunicar com outras entidades do mesmo governo.

 Os dispositivos móveis são, hoje em dia, parte fundamental da vida de milhões de pessoas. Apesar das múltiplas vantagens que oferecem, é necessário estar consciente dos perigos que representam para a segurança da informação, devido ao baixo grau de proteção de equipamentos como smartphones, tablets, entre outros.

“Não há dúvida que, nos últimos tempos, os dispositivos móveis têm-se tornado parte integral da vida das pessoas, tanto a nível pessoal, como profissional. Entre as suas principais características, destaca-se a mobilidade e acessibilidade da informação a partir de qualquer lugar”, assinala Marla Mendesresponsável da Check Point Software pelo mercado moçambicano. “Contudo, a normalização do uso de dispositivos móveis, juntamente com o seu baixo nível de segurança faz destes dispositivos os alvos preferidos dos cibercriminosos. A conclusão é evidente: proteger os dispositivos móveis já não é opcional, é uma necessidade, independentemente do sistema operativo que utilizam”, conclui a especialista.

 

De acordo com Data Reportal 2021, mais de metade da população moçambicana tem actualmente um dispositivo móvel. Se, por um lado, permitem a conexão e comunicação partindo de qualquer lugar, são, igualmente, dispositivos que comportam riscos inerentes de cibersegurança. A Check Point elenca as 5 maiores ameaças para estes aparelhos, apelando aos utilizadores para fazerem uso de práticas regulares de protecção e munirem-se de soluções automatizadas de detecção e prevenção contra as mais variadas técnicas de ciberataque.

 1.       Apps maliciosas. Instalar aplicações pode resultar numa infinidade de riscos. Este tipo de programas expõe os dispositivos a agentes maliciosos, como o malware, agentes de roubo de credenciais, keyloggers, trojans de acesso remoto, entre muitos outros. A implementação de vírus desta natureza é uma forma simplificada dos cibercriminosos lançarem ataques sofisticados e direcionados de geração VI. Por outro lado, é fundamental destacar que outro dos principais perigos reside na tendência de os utilizadores aceitarem, sem uma leitura prévia, as condições e termos de utilização, permitindo às aplicações ter acesso a um conjunto de informações sensíveis armazenadas nos dispositivos.

 2.       Vulnerabilidades dos dispositivos. De acordo com o Mobile Security Report 2021 da Check Point, quase todas as organizações experienciaram pelo menos um ataque de malware móvel em 2020 (93%). As vulnerabilidades presentes nos próprios sistemas operativos (Android ou iOS) representam um grave risco para a segurança dos dados. Além das falhas de segurança que se podem encontrar, as configurações de segurança débeis que pautam estes dispositivos são aproveitados pelos cibercriminosos para aceder à informação armazenada.

 3.       Phishing. O phishing mantém-se a ameaça com maior taxa de sucesso. Não é surpreendente que os cibercriminosos façam uso das numerosas aplicações disponíveis para direcionar os utilizadores a páginas falsas. No terceiro trimestre de 2020, a Check Point dava conta que 44% dos ataques de phishing se processavam via e-mail, sendo a web o segundo meio mais comum. Também as várias apps de mensagem são, muitas vezes, vias de difusão deste tipo de técnicas de ataque, como o Facebook, Messenger, Whatsapp, entre outras.

 4.       Ataques Manin-the-Middle (MitM)Os dispositivos móveis eliminam barreiras físicas e oferecem a possibilidade de conexão e comunicação a partir de qualquer lugar. Cada dia são trocadas milhões de mensagens que contêm informação sensível. Os ataques MitM são métodos que permitem a interceção dos dados entre o dispositivo e o servidor. Por exemplo, um ciberataque deste tipo que vitimasse um serviço de online banking permitiria o atacante alterar os dados de uma transferência bancária.

 5.       Ataques baseados na rede. É fundamental analisar as comunicações que os dispositivos móveis recebem e emitem de forma a evitar uma grande quantidade de ataques. A maioria das variantes do malware móvel necessita de estabelecer conexão com o servidor C&C do dispositivo para ter sucesso e intercetar dados. Assim, detetar estes canais de comunicação maliciosos permite bloquear as comunicações e, por isso, prevenir múltiplos ataques.

 Gestão e protecção de dispositivos móveis não são sinónimos. Não há sistemas operativos impenetráveis

Existe a falsa crença de que a segurança de um dispositivo móvel é influenciada pelo sistema operativo a ser utilizado. Apesar de tanto o Android, como o iOS disporem de ferramentas próprias de protecção, nenhum sistema operativo é impenetrável por si só, sendo ambos susceptíveis a falhas de segurança. Face este panorama, a Check Point assinala que os dispositivos móveis devem ser vistos como qualquer outro ponto de conexão a uma rede corporativa, no que respeita a segurança, a gestão de riscos e a visibilidade das ameaças.

Beneficiar dos mais altos padrões de segurança significa, necessariamente, cumprir com algumas medidas de segurança como o bloqueio dos dispositivos, a implementação de soluções como a eliminação remota de dados, entre muitas outras. Do lado da Check Point destaca-se a Harmony Mobileuma solução de defesa contra ameaças móveis, eficaz na protecção dos dispositivos corporativos frente a ataques móveis avançados, como aplicações infetadas, ataques Man-in-the-Middle, links maliciosos e muitos outros. A Harmony Mobile é uma ferramenta que não só protege, como previne, deteta e evita os mais sofisticados ciberataques.

A investigação da Check Point levou à descoberta de uma nova arma de ciberespionagem com amplas funcionalidades de acesso. A campanha é atribuída, com média a elevada confiança, a um grupo cibercriminoso chinês. Ao longo de 3 anos, os atacantes desenvolveram um backdoor nunca antes visto para software Windows. Sendo implementado com sucesso nos computadores pessoais das vítimas, o backdoor permite correr ferramentas de espionagem ao vivo, tais como captura de ecrã, edição de ficheiros e execução de comandos.

Os atacantes enviavam sistematicamente documentos maliciosos que personificavam entidades do governo visado a membros do Ministério dos Negócios Estrangeiros do mesmo governo. A cadeia de infeção pode ser descrita da seguinte forma:

  1. A Vítima recebe um e-mail com um documento em anexo, enviado alegadamente por algum outro ministério ou comissão do governo
  2. Ao abrir o documento, a vítima executa uma cadeia de eventos que eventualmente resultam no download de um backdoor
  3. O backdoor recolhe qualquer informação que o atacante pretenda obter, incluindo a listagem de ficheiros e programas ativos no PC, permitindo o seu acesso remoto

cyber

Ao longo de três anos, os atacantes desenvolveram um novo backdoor, um tipo de malware que nega os procedimentos normais de autenticação para aceder a um sistema. Com o nome interno de VictoryDll_x86.dll, o backdoor contém um malware personalizado com as seguintes capacidades: 

  • Apagar/criar/renomear/ler/escrever ficheiros e obter atributos sobre os mesmos
  • Obter informação sobre os processos e serviços
  • Fazer capturas de ecrã
  • Executar comandos através de cmd.exe
  • Criar/terminar processos
  • Obter tabelas TCP/UDP
  • Obter informações sobre chaves de registo
  • Obter privilégios de top-level no Windows 
  • Obter informação pessoal do computador da vítima – nome do computador, nome de utilizador, endereço gateway, dados do adaptador, versão Windows (versão maior/menor e número de fabrico), tipo de utilizador
  • Encerrar computador

 

Atribuição de responsabilidade

A Check Point Research atribui a operação de vigilância, com média a elevada confiança, a um grupo de cibercriminosos chinês, baseando-se nos seguintes indicadores:

 

  • Os servidores command and control (C&C) só foram comunicativos entre a 1:00 e as 8:00 UTC, o horário que se acredita ser de trabalho no país dos atacantes, significando que o alcance das suas possíveis origens é limitado.
  • Os servidores C&C não devolveram qualquer payload (mesmo em horas de trabalho), especialmente durante o período entre dias 1 e 5 de maio – feriados do dia de Trabalhador na China.
  • Algumas versões de teste do backdoor continham uma verificação de conectividade com um dos sites mais populares na China, o www.baidu.com.
  • O kit RoyalRoad RTF, utilizado para transformar os documentos em anexos de ataque, está associado maioritariamente a grupos APT chineses.
  • Algumas versões de teste do backdoor datadas de 2018 foram transferidas para o VirusTotal na China.

 

 

Evitar deteção

A operação de vigilância alocou esforços significativos para evitar ser detetada.

 

  • O servidor C&C funcionava numa janela diária limitada, concordante com o horário de trabalho na China, e a infraestrutura foi alterada várias vezes ao longo da campanha.
  • O malware do backdoor esteve em desenvolvimento desde 2017. Contudo, ao longo dos anos, foi dividido em vários estágios de forma a dificultar a análise e deteção.

 

“Todas as provas apontam para o facto de estarmos perante uma operação altamente organizada que se esforçou para se manter debaixo do radar. De semana a semana, os atacantes utilizavam e-mails de phishing direcionados, com versões de documentos maliciosos sobre questões governamentais, com o objetivo de obter uma porta de entrada para o Ministério de Negócios Estrangeiros do governo visado,” começa por dizer Lotem Finkelsteen, Head of Threat Intelligence da Check PointEm última análise, a nossa investigação conduziu a descoberta de um novo backdoor de Windows ou, noutras palavras, uma nova arma de ciberespionagem, em desenvolvimento desde 2017. O backdoor foi formulado e reformulado uma e outra vez ao longo dos anos, antes de ser utilizado. É muito mais intrusivo e capaz de recolher uma vasta quantidade de dados de um computador infetado. Ficámos a saber que os atacantes não estão apenas interessados em ‘cold data’, mas também no que está a acontecer no computador a qualquer momento. Embora tenhamos conseguido boquear a operação para este governo do sudeste asiático, é muito possível que esta nova arma esteja a ser utilizada para outros alvos espalhados pelo mundo.”

 

 

Jornal Visão Moçambique
Author: Jornal Visão Moçambique

Jornal moçambicano que inova na maneira de informar. Notícias de Moçambique e do mundo num toque. Digitalizamos a maneira como a notícia chega ás suas mãos e ao bolso através desta camada jovem que faz Jornalismo Social e Responsável.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

error

Enjoy this blog? Please spread the word :)

Activar notificações Sim Não, obrigado