A Check Point divulgou um relatório que detalha a descoberta de um conjunto de ataques persistentes com provável origem no Líbano, e que aparenta ter ligações políticas.
Investigadores do Grupo de Malware e Vulnerabilidades da Check Point descobriram esta campanha de ataques, denominada Volatile Cedar, que utiliza um malware local com nome em código “Explosive”. Em funcionamento desde o início de 2012, a campanha terá penetrado com êxito num elevado número de alvos em todo o mundo, monitorizando durante todo este tempo as acções das suas vítimas e roubando inúmeros dados.
Até ao momento, entre as organizações confirmadas como atacadas estão fornecedores militares, empresas de telecomunicações, meios de comunicação e instituições educativas. A natureza dos ataques e as repercussões associadas sugerem que os motivos dos atacantes não são financeiros, tendo antes tido como motivação a extracção de dados sensíveis das vítimas.
Confira as conclusões do relatório:
- Volatile Cedar é uma campanha muito bem direccionada e administrada. Os seus alvos foram cuidadosamente escolhidos, limitando a sua actividade ao mínimo necessário para atingir os seus objectivos, reduzindo assim também ao mínimo o risco de exposição.
- A primeira evidência do “Explosive” foi detectada em Novembro de 2012. Desde então, e até hoje, foram registadas diferentes versões, já que o malware muda como resposta a tentativas de detecção.
- O modus operandi dos atacantes era começar por atacar servidores web de serviço público, com vulnerabilidades tanto automáticas como manuais.
- Uma vez obtido o controlo sobre o servidor, este era utilizado como “pivô” para explorar, identificar e atacar alvos adicionais localizados em pontos mais profundos da rede. Foi detectado hacking manual online, assim como mecanismos automatizados de infecção via USB.
“O Volatile Cedar é uma campanha de malware que tem estado activa continuamente e com êxito há vários anos, escapando à detecção através de uma operação bem planificada e cuidadosamente gerida, que monitoriza constantemente as acções das suas vítimas e responde rapidamente a incidentes de detecção, como a activação de um antivírus”, explica Dan Wiley, director da área de Resposta a Incidentes e Inteligência de Ameaças da Check Point. “Esta é só uma das faces visíveis dos ataques dirigidos do futuro: malware que aponta em silêncio a uma rede, roubando dados, e mudando rapidamente se detectado por um antivírus”.
Os clientes da Check Point estão protegidos do Volatile Cedar através de diversas assinaturas localizadas em diferentes security blades (módulos de segurança por camadas), e também foram actualizados alguns sistemas equipados com ThreatCloud para identificar todas as variantes do “Explosive” conhecidas até à data. As empresas em geral, por seu turno, podem proteger-se contra estes ataques através de infra-estruturas de segurança inteligentes com a adequada segmentação Firewall, IPS, Anti-bot, aplicação de correcções, e Controlo de Aplicações.
Para obter mais informações, pode descarregar o relatório completo aqui
Os grupos de Inteligência de Ameaças (Threat Intelligence) e de Investigação da Check Point investigam ataques, vulnerabilidades e fugas, e desenvolvem a protecção necessária para manter seguros os seus clientes. Para mais informação, visite: http://www.checkpoint.com/threatcloud-central/.
