Os grupos de hackers mais famosos

Os grupos de hackers mais notórios

Listamos o que se sabe sobre os perpetradores de alguns dos mais ousados ​​ataques cibernéticos, desde destruir equipamentos nucleares até assaltos cibernéticos complexos que valem centenas de milhões de dólares.

Atualmente, ataques cibernéticos cada vez mais sofisticados são criados, aprimorados e aprimorados por grupos obscuros de hackers, geralmente usando ferramentas personalizadas direcionadas a pessoas, empresas e até países de alto valor.

A partir de ousados ​​assaltos cibernéticos que fazem com que caixas eletrônicos nas ruas distribuam dinheiro de graça, visando a ativistas, desertores e dissidentes, esses ataques são geralmente realizados por grupos dedicados que trabalham nas sombras dos estados onde são tolerados, encorajados ou até mesmo parte da maquinaria de inteligência dos próprios países.

Muitas vezes misterioso, é só graças à dedicação dos pesquisadores de segurança que agora sabemos um pouco sobre como esses grupos operam, detectando indícios de quem eles são, onde estão baseados, como operam e por quê.

Esses grupos tendem a operar no domínio da ameaça persistente avançada (APT), um termo bastante autoexplicativo para tentativas sofisticadas de invasão que estão continuamente em andamento, geralmente visando uma pessoa, empresa ou país.

Os grupos de APT variam em motivo: eles poderiam estar conduzindo espionagem cibernética para informações políticas ou corporativas (geralmente em indústrias sensíveis ou órgãos do setor público), eles poderiam ser patrocinados pelo estado, poderiam ser diretamente uma função de um estado ou poderiam ser simplesmente tolerado dentro de um estado.

Um grupo APT pode ser motivado financeiramente, envolvendo-se em cibercriminosos complexos. Ou eles poderiam simplesmente querer espalhar desinformação e caos.

Em qualquer caso, eles geralmente usam ferramentas de malware personalizadas e proprietárias e possuem meios sofisticados de ataque. Muitas vezes, eles executam suas próprias (às vezes vastas) infra-estrutura de comando e controle, e deliberadamente dificultam a atribuição – ou mascarando a localização dos ataques ou como um meio de culpar outro culpado em potencial, em outras palavras, uma operação de “bandeira falsa”. .

Os grupos APT são, por natureza, obscuros e misteriosos – mas graças ao trabalho árduo de pesquisadores na comunidade infosec, sabemos agora detalhes sobre alguns deles.

Leia sobre alguns dos mais notórios grupos de hackers conhecidos, de “Fancy Bear” a “Reaper”.

Os corretores de sombra

Era quase impossível perder a ameaça do ransomware WannaCry em 2017. WannaCry e o que era então uma variante do ransomware Petya, a NotPetya, prejudicava a infraestrutura e as empresas em todo o mundo.

Esses ataques foram baseados em uma exploração desenvolvida internamente pela Agência de Segurança Nacional dos EUA (NSA), chamada EternalBlue, que por sua vez explorou o protocolo Server Message Block da Microsoft (decidindo organizar essa exploração em vez de informar a Microsoft).

Um grupo chamado The Shadow Brokers obteve os arquivos da NSA em 2013, supostamente  extraídos  de um servidor de teste da NSA. Isso incluía informações sobre todos os tipos de explorações que a agência de espionagem mantinha.

O primeiro vazamento publicado do grupo foi em agosto de 2016, um esconderijo de armas cibernéticas que ele atribuiu ao ‘Equation Group’ – uma organização que se acredita estar baseada nos EUA, possivelmente por trás do infame código Stuxnet que destruiu as centrífugas nucleares do Irã. sugeriu também ter laços com a NSA.

Quatro vazamentos depois e foi “EternalBlue” – o ataque baseado em SMB em que WannaCry e Petya foram construídos, causando mais de 200.000 infecções em todo o mundo nas primeiras duas semanas de seu lançamento. O grupo afirma ter acesso a mais armas e exploits, e anteriormente ameaçou a liberação de novos materiais todos os meses.

Ninguém sabe ao certo onde o grupo Shadow Brokers se origina, mas as teorias incluem um insider dentro do grupo ‘Tailored Access Operations’ da NSA.

O denunciante da NSA, Edward Snowden, disse que “a sabedoria convencional indica responsabilidade russa” – acrescentando que ele acreditava que os lançamentos eram um aviso para os EUA.

“Este vazamento parece com alguém enviando uma mensagem de que uma escalada no jogo de atribuição pode ficar confusa”, ele  twittou .

Grupo Lazarus

O misterioso Grupo Lazarus poderia estar por trás do assalto a US $ 81 milhões do Banco Central do Bangladesh em 2016. Não se sabe muito sobre esta organização, quem está nela ou de onde ela opera, mas o fornecedor de segurança Kaspersky fez com que seus pesquisadores tentassem rastrear o grupo obscuro por mais de um ano.

Descobriu da “análise forense de artefatos” que o grupo deixou em ataques aos bancos do sudeste asiático e europeus um “profundo entendimento” do grupo e como ele opera – observando que atacou instituições financeiras, cassinos, desenvolvedores de software e empresas de criptomoeda. ao redor do mundo.

A anatomia típica de um ataque de Lazarus, segundo Kaspersky, vem em quatro etapas. O primeiro é o comprometimento inicial em que um único sistema em um alvo é violado com código remotamente acessível ou por meio de uma exploração plantada em um site.

Um funcionário faz o download do malware, permitindo que o grupo coloque outros malwares no sistema comprometido.

Então, os hackers do Lazarus migravam para outros hosts do banco e colocavam backdoors por toda a organização.

Depois disso, ele realizaria uma missão de reconhecimento para aprender e mapear a rede, sinalizando recursos internos valiosos, como servidores de backup com credenciais ou informações de autenticação armazenadas nela.

Por fim, o grupo implanta malwares especialmente desenvolvidos para burlar a segurança da vítima e, em seguida, faz transações a partir daí.

Ninguém sabe ao certo de onde Lazarus opera. No entanto, estudando uma coleção de amostras de malware, o Kaspersky encontrou uma conexão estranha com um servidor de comando e controle – durando apenas um momento – de um endereço IP “muito raro” na Coréia do Norte.

Mas como com muita atribuição que é adivinhação educada, com o fornecedor admitindo que isso poderia significar uma série de coisas – que os atacantes realmente se conectaram da Coréia do Norte, foi uma operação de bandeira falada “cuidadosamente planejada”, ou que alguém no Norte A Coreia visitou acidentalmente a URL de comando e controle.

O grupo ainda está em movimento. Leia mais sobre a pesquisa da Kaspersky  aqui .

Grupo de Equação

Creditado pela Kaspersky com a duvidosa honra de ‘criador da coroa da espionagem cibernética’, o Equation Group refere-se à sombria Unidade de Operações de Acesso Sob Medida da NSA da América.

O grupo ficou famoso por ter sido associado ao Stuxnet, um ataque altamente sofisticado (especialmente em sua época) que destruiu com sucesso as centrífugas nucleares do Irã, embora se suspeite que a unidade tenha informado o ataque em vez de o ter perpetrado.

Kaspersky tem uma breve exposição do que é conhecido sobre o grupo  aqui . É, segundo o fornecedor, “único em quase todos os aspectos de suas atividades” – usando ferramentas que são extremamente complicadas e caras de desenvolver, bem como exfiltrar dados e ocultar seu trabalho de uma maneira “excepcionalmente profissional”.

Como mencionado na entrada do Shadow Brokers – alguns dos ataques cibernéticos mais prejudiciais que o mundo já viu se originaram de uma única exploração da NSA. O grupo tem uma extensa biblioteca de trojans que são conhecidos e provavelmente muitos outros que não são.

E parece usar métodos de espionagem mais tradicionais para entrar nos sistemas de vítimas também, em uma instância interceptando um CD-ROM que estava sendo enviado aos participantes de uma conferência de ciências em Houston, e substituindo-o por uma cópia que foi infectado com o worm DoubleFantasy do grupo.

O grupo mantém uma grande infra-estrutura de servidores de comando e controle, localizada em mais de 100 servidores e 300 domínios, incluindo hosts em países como EUA, Reino Unido, Panamá, Costa Rica, Colômbia, Alemanha e Holanda.

Suas vítimas  parecem  ser altamente visadas, incluindo (mas não limitadas a) instituições governamentais e diplomáticas, telecomunicações, aeroespacial, energia, pesquisa nuclear, petróleo e gás, militares, nanotecnologia, ativistas e acadêmicos islâmicos, mídia, transporte, finanças e empresas que trabalham com criptografia.

Carbanak / Fin7

Um grupo de código-fonte chamado Carbanak era procurado por agências de policiamento internacional há pelo menos cinco anos, devido ao sucesso de roubar US $ 1 bilhão de uma série de roubos cibernéticos e redes de caixas eletrônicos hackeadas.

Em março de 2018, a Europol acreditou ter apontado o líder da notória gangue, ainda sem nome, para prender a figura em Alicante, na Espanha, depois de uma investigação internacional conjunta.

Carbanak (também apelidado de Fin7) enviou campanhas de phishing altamente direcionadas – em outras palavras, spear phishing – para enganar os funcionários do banco a fazer o download de malware. Desde o final de 2013, a gangue usou seu próprio tipo de malware, Anunak e Carbanak, e depois utilizou uma versão modificada do software de testes de segurança chamado Cobalt Strike, relata a  Fortune .

Os primeiros alvos foram principalmente na Rússia, mas depois passou para os EUA, Alemanha, China e Ucrânia.

Eles atacaram bancos em mais de 40 países, contabilizando afetivamente um crime de ciber-roubo de uma gangue. O ataque de cobalto modificado permitiu a Carbanak roubar até € 10 milhões por assalto.

Seus engenhosos hacks de caixa eletrônico permitiram que o grupo instruísse os caixas eletrônicos a distribuir moeda sem sequer interagir com o terminal. Este seria então recolhido por mulas que o transferiram para a rede financeira SWIFT e daí para as contas dos atacantes.

A FireEye  observou que o grupo apontou sua campanha de phishing na Comissão de Valores Mobiliários dos EUA.

APT37 / Reaper 

De acordo com extensa pesquisa do fornecedor de segurança americano FireEye, uma unidade de espionagem baseada na Coréia do Norte (Advanced Persistent Threat 37 – apelidada de Reaper) aumentou suas operações no início de 2018 e continua em missões de reconhecimento visando estados-nação e organizações adjacentes ao estado.

Em 2017, o grupo teve como alvo uma empresa do Oriente Médio que estava trabalhando com a Coréia do Norte em um projeto conjunto para aumentar os serviços de telecomunicações no país. Ele também se aperfeiçoou em uma empresa de comércio vietnamita e até em indivíduos que trabalham em organizações olímpicas.

A FireEye afirma que, além das operações de espionagem baseadas no estado-nação, também tem como alvo desertores da RPDC, sugerindo que está estreitamente afiliada ao país.

Os invasores ‘Reaper’ usaram vulnerabilidades no processador de texto Hangul, que é amplamente usado na RoK – Coréia do Sul. Além disso, ele tinha um cache de zero dias e os usava em spear phishing e ‘operações de comprometimento da Web’, de acordo com a FireEye.

A infra-estrutura de comando e controle fez uso de servidores comprometidos, bem como provedores de serviços em nuvem, para atribuição indecorosa e evitar a detecção, e também colocou cargas de malware em sites comprometidos, porém legítimos. As contas de e-mail usadas para aproveitar os ataques evoluíram de domínios associados à Coreia do Sul para outros provedores, como o Gmail, e serviços russos, como o Yandex.

FireEye – cujo relatório você pode ler  aqui  (PDF) – diz que avaliou com “alta confiança” que o grupo age “em apoio ao governo norte-coreano e está baseado principalmente na Coréia do Norte”.

Os pesquisadores chegaram a essa conclusão por várias razões diferentes, de quem o grupo estava almejando até “provavelmente links para um indivíduo norte-coreano que acredita-se ser o desenvolvedor de várias das famílias proprietárias de malware da APT37”.

Iron Tiger APT

Possivelmente emergindo de uma série de ataques sofisticados e altamente direcionados na região Ásia-Pacífico, concentrando-se em políticos e agências governamentais na China, Hong Kong, Filipinas e Tibete, o grupo apelidado de “Iron Tiger” teria se voltado para alvos em América, incluindo contratados do governo dos EUA na indústria aeroespacial, energia, inteligência, telecomunicações e nuclear.

Um relatório da Trend Micro   sugeriu que os ataques se originaram da China porque os servidores VPN usados ​​para iniciar os ataques eram baseados principalmente na região, os nomes de arquivos e senhas usados ​​eram chineses, recursos de texto e ID de idioma em binários de malware definidos como chineses simplificados. Os dados Whois apontavam para domínios registrados em endereços físicos na China.

O vendedor também apontou o dedo para uma pessoa chamada Guo Fei, um morador de Xangai, que acreditava ser fundamental para o sucesso do grupo.

O BitDefender em fevereiro de 2018 descobriu variantes do trojan Gh0st RAT usado na operação Iron Tiger para novos ataques marcados pela primeira vez em julho de 2017 – um malware personalizado chamado PZChao, sugerindo um potencial retorno do grupo que ficou quieto por vários anos. Uma análise forense dessa nova variante é detalhada em um whitepaper do fornecedor, disponível para download  aqui .

Urso Fantasia / APT28

Nenhuma lista de grupos avançados de ameaças persistentes estaria completa sem o “Fancy Bear”, que teria desempenhado papel importante na invasão do Comitê Nacional Democrata dos EUA na corrida para as eleições americanas (embora isso tenha sido contestado por “Guccifer 2.0”). ‘, que levou crédito).

O grupo, diz  CrowdStrike , está em cena desde 2008 e tem como alvo todos os setores sensíveis usuais – defesa, energia, governo e mídia – bem como dissidentes. Acredita-se que seja, no mínimo, patrocinado pelo Estado, com os fornecedores observando que o provável culpado é a Rússia.

É capaz de executar operações simultâneas ao mesmo tempo e criou suas próprias ferramentas de implantes, bem como droppers, que são sistemas operacionais cruzados e podem ser apontados para dispositivos móveis também.

A Fancy Bear estava ligada a ataques ao parlamento alemão, bem como a campanhas para sequestrar o tráfego de entrada para um site do governo nigeriano.

O grupo também desenvolveu um malware para atacar os dispositivos da Apple, que era capaz de ler mensagens de texto e secretamente gravar áudio – uma ferramenta útil de espionagem no arsenal de qualquer país.

Para a longa lista de ataques e campanhas proeminentes, visite a página da Wikipedia  aqui , onde você pode ler sobre o ataque ao Bundestag, e até mesmo uma tentativa de paralisar a artilharia da Ucrânia.

(Reportagem de Tamlin Magee, Computerworld UK) – Publicação original em: ARN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogueiros gostam disto: