É comum nos depararmos com notícias sobre conflitos envolvendo quadrilhas de traficantes, contrabandistas, mafiosos ou outros tipos de criminosos. Entretanto, recentemente a empresa de segurança Kaspersky divulgou uma atividade incomum entre grupos que desenvolvem ataques de espionagem baseados em Ameaças Persistentes Avançadas (APT, sigla em inglês). O grupo Hellsing estava usando phishings contra o rival Naikon em um ataque apelidado pela mídia de “Spy vs Spy”, em referencia aos quadrinhos da revista Mad. Ambos os grupos são conhecidos por atacar alvos na região da Ásia-Pacífico e nos Estados Unidos.
De acordo com o portal Ars Technica, o roubo de informações entre as quadrilhas, sobretudo de catálogos de endereços, já é uma atividade normal no submundo do crime cibernético. No entanto, a tentativa de um grupo espionar outro é uma novidade. Algo que ainda não havia sido registrado pela mídia especializada.
Conforme post do blog Securelist, mantido pelo grupo de pesquisas da Kaspersky, a briga teve início em março do ano passado, após o desaparecimento do Voo 370 da Malaysia Airlines quando o grupo Naikon enviou diversos e-mails de phishing para entidades governamentais das nações envolvidas na investigação do acidente. O objetivo, possivelmente era o de obter supostas informações sigilosas sobre o caso. Mas um dos alvos deste ataque foi um endereço do grupo Hellsing. Os membros do Hellsing dedicaram tempo para estudar o phishing que receberam do grupo Naikon e elaboraram o contra-ataque que foi identificado pela Kaspersky.
Ambos os grupos envolvidos nessa guerra atuam de maneira diferente a dos criminosos que usam phishings tradicionais. Ao invés de elaborar campanhas envolvendo milhares de destinatários as quais são descobertas e inibidas rapidamente.
Ou seja, “jogando a rede” para pescar o que vier nela para depois elaborar outra campanha, tanto o Hellsing quando o Naikon são especializados em Ameaças Persistentes Avançadas, as quais tem o objetivo de manter os seus malwares o maior tempo possível no ambiente alvo, em uma maneira direcionada de coletar informações. Seus malwares são mais sofisticados que os phishings comuns e são elaborados de maneira a executar um ataque que renda muito dinheiro de uma vez, (assim como no caso de um bilhão de dólares envolvendo o malware Carbanak sobre o qual falamos neste blog), ou um volume grande de informações.
De acordo com os pesquisadores da Kaspersky, este incidente inaugura uma nova tendência de ataques, os que eles chamam de APT-on-APT ou APT contra APT. Partindo do pressuposto de que as APTs podem envolver informações valiosas, é provável que em breve uma guerra possa ser travada nos computadores do ambiente alvo, com grupos tentando roubar informações roubadas por outros.
As estratégias para evitar os ataques baseados em Ameaças Persistentes Avançadas são essencialmente as mesmas que são usadas contra os ataques de phishing: Uma boa gestão de segurança nos ativos e treinamento envolvendo todos os colaboradores.
Conheça El Pescador e proteja sua equipe de ataques de phishing. Solicite um demo em nosso site: www.elpescador.com.br
