Após o ataque tornado público aos ficheiros da Hacking Team, uma série de grupos de ciberespionagem começou a usar com propósitos maliciosos as ferramentas que a Hacking Team proporcionava aos seus clientes para levar a cabo ataques. Isto inclui vários exploits dirigidos ao Adobe Flash Player e ao sistema operativo Windows. Pelo menos um deles já foi reutilizado pelo poderoso grupo Darkhotel.
A Kaspersky Lab descobriu que o Darkhotel, uma equipa de espionagem de elite desmascarada pelos analistas da empresa de segurança em 2014 e que se tornou famosa por se infiltrar nas redes Wi-Fi de hotéis de luxo para comprometer executivos, tem estado a usar uma vulnerabilidade de zero-day procedente da colecção da Hacking Team desde princípios de Julho (logo após ter acontecido a fuga de ficheiros, no dia 5 desse mesmo mês). Apesar de não ser conhecido como cliente da Hacking Team, o grupo Darkhotel parece ter conseguido deitar a mão aos ficheiros assim que estes se tornaram públicos.
Este não é o único zero-day do grupo. De acordo com as estimativas da Kaspersky Lab, nos últimos anos podem ter usado mais de meia dezena de zero-day dirigidos ao Adobe Flash Player, investindo, aparentemente, uma quantia significativa de dinheiro a complementar o seu arsenal. Em 2015, o grupo Darkhotel ampliou o seu alcance geográfico, sem esquecer no entanto os seus alvos tradicionais: Coreia do Norte e Coreia do Sul, Rússia, Bangladesh, Tailândia, India, Moçambique e Alemanha.
Assistência colateral da Hacking Team
Os investigadores de segurança da Kaspersky Lab registaram novas técnicas e actividades por parte do Darkhotel. Nos ataques realizados em 2014 e anteriormente, o grupo usou certificados de assinatura de códigos roubados e empregou métodos inusitados, como o sequestro de redes Wi-Fi de hotéis para plantar ferramentas de espionagem nos sistemas das suas vítimas-alvo. Em 2015, muitas destas técnicas e actividades mantiveram-se, mas a Kaspersky Lab também descobriu novas variantes de ficheiros executáveis maliciosos:
- O uso contínuo de certificados roubados. O Darkhotel parecia manter um stock destes certificados e instala os seus descarregadores e backdoors assinados por eles para enganar o sistema alvo. Alguns dos certificados revogados mais recentes incluem Xuchang Hongguang Technology Co. Ltd., a empresa cujos certificados foram utilizados em ataques prévios realizados por este grupo.
- Spearphishing implacável. O APT Darkhotel é de facto persistente: trata de enganar um alvo e, se não é bem-sucedido, volta a tentar vários meses depois com os mesmos esquemas de engenharia social.
- Utilização do exploit de dia zero da Hacking Team. A página web comprometida, tisone360.com, contém um conjunto de backdoors e exploits. O mais interessante disto é a vulnerabilidade de dia zero do Flash da Hacking Team.
“O Darkhotel está de volta com um novo exploit para Adobe Flash Player alojado numa página web comprometida e, desta vez, parece ter sido impulsionado pela fuga de ficheiros sofrida pela Hacking Team. O grupo disponibilizou, previamente, um exploit para Flash diferente na mesma página web, que reportámos como um dia zero da Adobe em Janeiro de 2014. O Darkhotel parece ter “queimado” uma pilha de zero-days do Flash e exploits de meio-dia nos últimos anos e pode ter acumulado mais para levar a cabo ataques dirigidos a pessoas de alto perfil em todo o mundo. Desde os ataques anteriores, ficámos a saber que o Darkhotel espia a CEOs, vice-presidentes sénior, directores de vendas e marketing e altos cargos de I+D”, esclarece Kurt Baumgartner, investigador principal de segurança da Kaspersky Lab
Desde o ano passado, o grupo tem vindo a trabalhar para melhorar as suas técnicas defensivas, através, por exemplo, da ampliação da sua lista de tecnologia anti-detecção. A versão 2015 do programa de descarga Darkhotel foi concebida para identificar as tecnologias antivírus de 27 fabricantes, com a intenção de passar sob os seus radares.
