Wars of Advanced Persistent Threats Segurança

As crónicas de Hellsing: uma história de espiões contra espiões



A Kaspersky Lab registou um inusitado ciberataque entre campanhas de malware. Em 2014, o Hellsing, um pequeno e tecnicamente medíocre grupo de ciberespionagem dirigido principalmente a organizações governamentais e diplomáticas na Ásia, sofreu um ataque de phishing por parte de um outro grupo malicioso e decidiu contra-atacar. A Kaspersky Lab considera que isto pode marcar o surgimento de uma nova tendência na actividade cibercriminosa: as guerras APT.

A descoberta foi feita pelos peritos da Kaspersky Lab durante a investigação ao Naikon, um grupo de ciberespionagem também dirigido organizações da região da Ásia-Pacífico. Os analistas notaram que um dos alvos do Naikon descobriu a tentativa de infectar os seus sistemas com uma mensagem de email de phishing que continha um ficheiro malicioso anexo.

O receptor (alvo dos cibercriminosos) pôs em dúvida a autenticidade do email e não abriu o ficheiro anexo. Pouco depois, o receptor reenviou de volta ao remetente uma mensagem que continha o malware recebido. Isto desencadeou a investigação da Kaspersky Lab e conduziu à descoberta do grupo APT Hellsing.

O método de contra-ataque indica que o Hellsing quis identificar o grupo Naikon e reunir informação sobre o mesmo. Uma análise mais profunda ao Hellsing revela um rasto de mensagens de email de phishing lançadas com ficheiros anexos maliciosos concebidos para propagar malware destinado à espionagem entre diferentes organizações.

Se a vítima abria o ficheiro anexo malicioso, o seu sistema era infectado com um backdoor personalizado capaz de descarregar e carregar ficheiros, e realizar a actualização e desinstalação de si próprio. De acordo com as observações da Kaspersky Lab, o número de organizações atacadas pelo Hellsing é aproximadamente 20.

Hellsing

Alvos do Hellsing

A Kaspersky detectou e bloqueou o software malicioso Hellsing na Malásia, Filipinas, India, Indonésia e EUA, estando a maioria das vítimas localizada na Malásia e Filipinas. Os atacantes também são muito selectivos quanto ao tipo de organizações a que se dirige, tratando de infectar sobretudo entidades governamentais e diplomáticas.

“O ataque do Hellsing ao Naikon, numa espécie de vingança ao estilo “Empire Strikes Back”, é fascinante. No passado, já vimos grupos APT a atacar-se acidentalmente entre si, enquanto roubavam os contactos das vítimas e depois enviavam emails massivos a todos eles. No entanto, tendo em conta a orientação e a origem do ciberataque, parece mais do que provável que este seja um exemplo de um ataque APT-on-APT deliberado”, afirma Costin Raiu, director da equipa de analistas GREAT da Kaspersky Lab.

Segundo a análise da Kaspersky Lab, o Hellsing tem estado activo desde pelo menos 2012 e assim permanece.

Protecção

Para se proteger contra os ataques do Hellsing, a Kaspersky Lab recomenda as seguintes práticas de segurança básicas:

  • Não abra ficheiros anexos suspeitos provenientes de pessoas que não conhece
  • Tenha cuidado com os ficheiros protegidos por paswords que contêm SCR ou outros ficheiros executáveis
  • Se não tem certeza sobre a fiabilidade dos dados anexos à mensagem de email, tente abri-la numa sandbox
  • Assegure-se de que tem um sistema operativo actualizado com todos os patches instalados
  • Actualize todas as aplicações de terceiros, como Microsoft Office, Java, Adobe Flash Player e Adobe Reader.

Os produtos da Kaspersky Lab detectam e bloqueiam com êxito o malware utilizado tanto pelo Hellsing como pelo Naikon.

Para obter mais informações sobre o grupo Hellsing e sobre esta campanha de contra-ataque vá a Securelist.com.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *