A Kaspersky Lab registou um inusitado ciberataque entre campanhas de malware. Em 2014, o Hellsing, um pequeno e tecnicamente medíocre grupo de ciberespionagem dirigido principalmente a organizações governamentais e diplomáticas na Ásia, sofreu um ataque de phishing por parte de um outro grupo malicioso e decidiu contra-atacar. A Kaspersky Lab considera que isto pode marcar o surgimento de uma nova tendência na actividade cibercriminosa: as guerras APT.
A descoberta foi feita pelos peritos da Kaspersky Lab durante a investigação ao Naikon, um grupo de ciberespionagem também dirigido organizações da região da Ásia-Pacífico. Os analistas notaram que um dos alvos do Naikon descobriu a tentativa de infectar os seus sistemas com uma mensagem de email de phishing que continha um ficheiro malicioso anexo.
O receptor (alvo dos cibercriminosos) pôs em dúvida a autenticidade do email e não abriu o ficheiro anexo. Pouco depois, o receptor reenviou de volta ao remetente uma mensagem que continha o malware recebido. Isto desencadeou a investigação da Kaspersky Lab e conduziu à descoberta do grupo APT Hellsing.
O método de contra-ataque indica que o Hellsing quis identificar o grupo Naikon e reunir informação sobre o mesmo. Uma análise mais profunda ao Hellsing revela um rasto de mensagens de email de phishing lançadas com ficheiros anexos maliciosos concebidos para propagar malware destinado à espionagem entre diferentes organizações.
Se a vítima abria o ficheiro anexo malicioso, o seu sistema era infectado com um backdoor personalizado capaz de descarregar e carregar ficheiros, e realizar a actualização e desinstalação de si próprio. De acordo com as observações da Kaspersky Lab, o número de organizações atacadas pelo Hellsing é aproximadamente 20.
Alvos do Hellsing
A Kaspersky detectou e bloqueou o software malicioso Hellsing na Malásia, Filipinas, India, Indonésia e EUA, estando a maioria das vítimas localizada na Malásia e Filipinas. Os atacantes também são muito selectivos quanto ao tipo de organizações a que se dirige, tratando de infectar sobretudo entidades governamentais e diplomáticas.
“O ataque do Hellsing ao Naikon, numa espécie de vingança ao estilo “Empire Strikes Back”, é fascinante. No passado, já vimos grupos APT a atacar-se acidentalmente entre si, enquanto roubavam os contactos das vítimas e depois enviavam emails massivos a todos eles. No entanto, tendo em conta a orientação e a origem do ciberataque, parece mais do que provável que este seja um exemplo de um ataque APT-on-APT deliberado”, afirma Costin Raiu, director da equipa de analistas GREAT da Kaspersky Lab.
https://youtu.be/R7n6zd4T6Bg
Segundo a análise da Kaspersky Lab, o Hellsing tem estado activo desde pelo menos 2012 e assim permanece.
Protecção
Para se proteger contra os ataques do Hellsing, a Kaspersky Lab recomenda as seguintes práticas de segurança básicas:
- Não abra ficheiros anexos suspeitos provenientes de pessoas que não conhece
- Tenha cuidado com os ficheiros protegidos por paswords que contêm SCR ou outros ficheiros executáveis
- Se não tem certeza sobre a fiabilidade dos dados anexos à mensagem de email, tente abri-la numa sandbox
- Assegure-se de que tem um sistema operativo actualizado com todos os patches instalados
- Actualize todas as aplicações de terceiros, como Microsoft Office, Java, Adobe Flash Player e Adobe Reader.
Os produtos da Kaspersky Lab detectam e bloqueiam com êxito o malware utilizado tanto pelo Hellsing como pelo Naikon.
Para obter mais informações sobre o grupo Hellsing e sobre esta campanha de contra-ataque vá a Securelist.com.
