A equipa de peritos GREAT da Kaspersky Lab descobriu a Blue Termite – uma campanha de ciberespionagem dirigida a centenas de organizações no Japão durante pelo menos dois anos. Os ciberatacantes procuravam informação confidencial e utilizavam um exploit zero-day no Flash Player e um sofisticado backdoor que era personalizado para cada vítima. Esta é a primeira campanha descoberta pela Kaspersky Lab que se centra de forma exclusiva em alvos japoneses – e continua activa.
Em Outubro de 2014, os analistas da Kaspersky Lab encontraram uma amostra de malware nunca antes vista, que se destacava entre as demais devido à sua complexidade. Uma análise mais detalhada demonstrou que esta amostra era só uma pequena parte de uma campanha de ciberespionagem grande e sofisticada.
A lista de alvos inclui organizações não-governamentais, indústria pesada, química, sector financeiro, meios de comunicação, organizações educativas, do sector da saúde, indústria alimentar, entre outros.
Diversas técnicas de infecção
Para infectar as suas vítimas, a Blue Termite utiliza várias técnicas. Antes de Julho de 2015, para a maioria dos ataques era utilizada a técnica de spear-phishing– envio de software malicioso como ficheiro anexo a mensagens de email com conteúdo atractivo para a vítima. No entanto, em Julho mudaram de táctica e começaram a difundir malware através de um exploit Flash zero-day (CVE-2015-5119, o exploit que foi libertado na sequência do incidente da Hacking Team no início deste Verão). Os cibercriminosos comprometeram vários websites japoneses e os visitantes desses sites descarregavam automaticamente um exploit que infectava o equipamento. Esta técnica é conhecida pelo nome drive-by-download.
A implementação de um exploit zero-day deu lugar a um aumento significativo na taxa de infecção registada pelos sistemas de detecção da Kaspersky Lab em meados de Julho.
Um dos websites comprometidos, pertencente a um membro do governo japonês, continha um script malicioso que filtrava os visitantes de acordo com os endereços IP, para centrar-se nos que entravam a partir do IP de uma organização japonesa concreta. Por outras palavras, só os utilizadores escolhidos a dedo recebiam a carga maliciosa.
Infecções da Blue Termite em 2014-2015
Malware exclusivo e artefactos lingüísticos
Após a infecção bem-sucedida, é implantado no equipamento um sofisticado backdoor capaz de roubar passwords, descarregar e executar a carga útil adicional, recuperar ficheiros, etc. Uma das coisas mais interessantes da Blue Termite é que dá a cada vítima uma amostra de malware único, criada para ser executada num PC específico. De acordo com os investigadores da Kaspersky Lab, isto foi feito assim para dificultar a análise do malware e sua detecção.
A pregunta sobre quem estará por detrás deste ataque continua sem resposta. Como é costume, a atribuição da autoria dos ataques é uma tarefa muito complicada quando se trata de ciberataques sofisticados. No entanto, os analistas da Kaspersky Lab conseguiram recolher algumas amostras de linguagem. Em particular, a interface gráfica de utilizador do servidor de comando e controlo, assim como alguns documentos técnicos relacionados com o malware utilizado na operação, estão escritos em chinês. Isto pode significar que os autores falam este idioma.
Assim que os analistas da Kaspersky Lab reuniram suficiente informação para confirmar que a Blue Termite é uma campanha de ciberespionagem dirigida a organizações japonesas, representantes da empresa informaram as agências policiais locais sobre estas descobertas. Como a operação ainda está em curso, a investigação da Kaspersky Lab também prossegue.
“Embora a Blue Termite não seja a primeira campanha de ciberespionagem que ataca a Japão, é na verdade a primeira campanha conhecida pela Kaspersky Lab que se centra estritamente em alvos japoneses. Desde o início de Junho, quando o Serviço de Pensões do país foi informado sobre o ciberataque, diversas organizações japonesas começaram a implementar medidas de protecção. No entanto, os ciberatacantes, devem ter mantido uma estreita vigilância sobre eles e começaram a utilizar novos métodos de ataque que ampliaram com êxito o seu impacto”, conta Vicente Díaz, analista principal da Kaspersky Lab.
Com o objectivo de reduzir o risco de ser infectado por uma campanha de ciberespionagem, os analistas da Kaspersky Lab recomendam que se sigam as seguintes medidas:
- Manter actualizado o software, especialmente software que é muito utilizado, já que é normalmente o mais explorado pelos cibercriminosos
- Se sabe que existem vulnerabilidades no software do dispositivo, mas não existem correcções para as mesmas, evite o uso desse software
- Suspeite de mensagens de email com ficheiros anexos
- Use uma solução anti-malware
Os produtos da Kaspersky Lab detectam com êxito e bloqueiam o malware com os seguintes nomes de detecção:
- Win32.Emdivi. *
- Win64.Agent. *
- SWF.Agent. *
- HEUR: Backdoor.Win32.Generic
- HEUR: Exploit.SWF.Agent.gen
- HEUR: Trojan.Win32.Generic
- Trojan-Downloader.Win32.Agent. *
- Trojan-Dropper.Win32.Agent. *
Comentários