Um grupo de espionagem ligada à China violou os sistemas de operadoras de satélite, empresas de telecomunicações e empresas de defesa nos Estados Unidos e no Sudeste Asiático, informou a Symantec na terça-feira. A Symantec acompanha o agente de ameaças, que nomeou como "Thrip", desde 2013. No entanto, a empresa de segurança diz que as atividades do grupo não foram divulgadas até agora. A Thrip usou uma combinação de malware personalizado e ferramentas legítimas em seus ataques. Uma das vítimas era uma operadora de comunicações via satélite, onde os hackers visavam dispositivos envolvidos nas operações, bem como sistemas executando software projetado para monitorar e controlar satélites. "Isso nos sugere que os motivos da Thrip vão além da espionagem e também podem incluir interrupções", disseram os pesquisadores da Symantec. A Thrip também tem como alvo uma empresa especializada em imagens geoespaciais e mapeamento. Os invasores tentaram obter acesso às máquinas que hospedam o MapXtreme GIS, o Google Earth Server e o software de imagens Garmin. A lista de vítimas identificadas pela Symantec também inclui três empresas de telecomunicações no sudeste da Ásia. As próprias empresas parecem ter sido as metas da Thrip, em vez de seus clientes. Outra vítima é uma contratada de defesa, mas nenhum detalhe foi compartilhado pela empresa de segurança sobre esse ataque. A Symantec monitora a Thrip desde 2013, quando identificou uma campanha conduzida a partir de sistemas localizados na China. Inicialmente, o grupo dependia principalmente de malware personalizado, mas campanhas mais recentes, que começaram no ano passado, também envolviam ferramentas legítimas. Os malwares usados pelo grupo incluem o Trojan: Rikamanu, um trojan projetado para roubar credenciais e outras informações de sistemas comprometidos, e o Infostealer: Catchamas, uma evolução do Rikamanu que inclui recursos aprimorados de roubo de dados e de detecção de dados. O Thrip também foi descoberto usando o Trojan: Mycicil, um keylogger oferecido em mercados clandestinos chineses, mas que não é visto com frequência, e o Backdoor: Spedear e o Trojan: Syndicasec, ambos observados em campanhas antigas do grupo. Quanto às ferramentas legítimas usadas pelos ciberpiratas, a lista inclui o utilitário PSExec do Windows SysInternals, o PowerShell, a ferramenta de pós-exploração Mimikatz, o WinSCP de software livre de FTP e o software de acesso remoto LogMeIn. "Isso é provável espionagem", disse Greg Clark, CEO da Symantec. "O grupo Thrip trabalha desde 2013 e sua campanha mais recente usa ferramentas de sistema operacional padrão, por isso as organizações segmentadas não notarão sua presença. Eles operam muito silenciosamente, misturando-se a redes e só são descobertos usando inteligência artificial que pode identificar e sinalizar seus movimentos. De forma alarmante, o grupo parece interessado em telecomunicações, operadoras de satélites e empresas de defesa. Estamos prontos para trabalhar com as autoridades apropriadas para lidar com essa séria ameaça ”.
on June 20, 2018 https://www.securityweek.com/china-linked-thrip-spies-target-satellite-defense-companies
Nenhum comentário:
Postar um comentário