Mundo

Pesquisadores descobrem o grupo de hackers DarkUniverse – Z6 Mag

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


Pesquisadores de segurança cibernética descobriram uma nova organização avançada de ameaça persistente (APT) analisando uma das violações de segurança mais significativas da história da Agência de Segurança Nacional dos EUA. Apelidados de DarkUniverse, os pesquisadores conseguiram vincular o grupo de hackers a violações e ataques anteriores que ocorreram entre 2013 e 2017.

A Kaspersky Lab, uma empresa de segurança cibernética e empresa de antivírus, publicou um relatório sobre a existência do novo grupo de hackers não identificados em um post de blog de 5 de novembro de 2019. O relatório indicava que o novo APT está vinculado às atividades do ItaDuke ativamente alvejou uigures e tibetanos desde 2013.

Links para os grupos de hackers ShadowBrokers e ItaDuke

A descoberta do DarkUniverse foi inaugurada pela análise das operações de um grupo de hackers que antes era conhecido como ShadowBrokers.

Em abril de 2017, ShadowBrokers publicou herdeiro bem conhecido ‘Perdido na tradução’ vazamento desenvolvido pela NSA e posteriormente roubado pelos hackers. O despacho é notório pela publicação do exploit Eternal Blue, que ajudou campanhas como WannaCry e NotPetya, que têm atormentado o mundo, levando a milhões de dólares em perdas.

Nas publicações Lost In Translation, os pesquisadores foram capazes de perceber um script interessante que procura rastros de outros APTs no sistema comprometido.

Em 2018, os pesquisadores descobriram o APT descrito no script como a 27a função. Este APT é o que os especialistas apelidaram de DarkUniverse. O relatório revelou que o novo APT utilizava explorações em PDF para descartar malware e contas do Twitter para armazenar URLs de servidor C2.

Pesquisadores descobrem o grupo de hackers DarkUniverse - Z6 Mag 2

Os pesquisadores disseram que os atores do DarkUniverse estão relacionados às atividades do ItaDuke em 2013 “devido a sobreposições de código exclusivas”. Os pesquisadores concluíram a associação com “confiança média”, pois viram semelhanças suficientes nas implementações da campanha nos dois APTs.

Leia Também  A estréia do Alibaba em Hong Kong é mais política do que negócios - Z6 Mag

Personalizando os ataques

Os ataques cibernéticos e as campanhas de vigilância realizadas pelo DarkUniverse foram descritos como sofisticados, pois os pesquisadores descobriram que os hackers fizeram um grande esforço para infectar e espionar seus alvos.

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

O relatório revela que a campanha inclui um vetor de caça submarina para espalhar malware. O grupo de hackers prepara uma carta personalizada para cada alvo para chamar sua atenção e solicitar que eles abram um documento malicioso anexado do Microsoft Office.

O malware tem a capacidade de coletar uma ampla variedade de informações por um longo período de tempo. Os dados coletados incluem:

  • Entrada do teclado
  • Conversas por e-mail
  • Credenciais do Outlook Express, Outlook, Internet Explorer, Windows Mail e Windows Live Mail, Windows Live Messenger e cache da Internet
  • Screenshots
  • Arquivos de diretórios específicos
  • Dados de servidores remotos e recursos compartilhados
  • Uma lista de arquivos de servidores remotos se credenciais especificadas forem válidas
  • Informações do registro do Windows

Os pesquisadores registraram um total de 20 vítimas geolocalizadas na Síria, Irã, Afeganistão, Tanzânia, Etiópia, Sudão, Rússia, Bielorrússia e Emirados Árabes Unidos. O grupo tem como alvo organizações civis e militares, e os pesquisadores disseram acreditar que o número de vítimas entre 2009 e 2017 é muito maior do que o que registraram.

Além disso, os pesquisadores disseram que, durante oito anos, os hackers foram vistos como evoluindo suas técnicas. Eles começaram a desenvolver um totalmente funcional a partir do zero em 2009 e evoluíram para ser uma tensão totalmente diferente no momento em que foi compilado em 2017.

“Os invasores foram engenhosos e continuaram atualizando seus malwares durante todo o ciclo de vida de suas operações; portanto, as amostras observadas em 2017 são totalmente diferentes das iniciais de 2009”, escreveram os pesquisadores da Kaspersky na publicação do blog. “A suspensão de suas operações pode estar relacionada à publicação do vazamento ‘Lost in Translation’, ou os atacantes podem simplesmente ter decidido mudar para abordagens mais modernas e começar a usar artefatos mais amplamente disponíveis para suas operações.”

Leia Também  Como a Europa lidou com a pandemia há 100 anos



cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *