A empresa de segurança russa Kaspersky divulgou uma nova pesquisa que lança luz sobre as atividades de um grupo de hackers, cujas operações parecem se estender por um período mais longo do que se pensava anteriormente.
- Siga o tecflow no Google News!
- Participe do nosso grupo no Telegram ou Whatsapp!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui.
A pesquisa publicada na semana passada pela empresa de segurança Malwarebytes trouxe novas informações sobre um grupo de hackers chamado Red Stinger, que realiza operações de espionagem tanto contra vítimas pró-Ucrânia no centro da Ucrânia quanto contra vítimas pró-Rússia no leste do país. As descobertas foram intrigantes devido à mistura ideológica dos alvos e à falta de conexões com outros grupos de hackers conhecidos. Algumas semanas antes de a Malwarebytes divulgar seu relatório, a Kaspersky também publicou uma pesquisa sobre o grupo, que ela chama de Bad Magic, e chegou a conclusões semelhantes de que o malware usado nos ataques não tinha conexões com outras ferramentas de hacking conhecidas. A pesquisa divulgada pela Kaspersky hoje finalmente relaciona o grupo a atividades passadas e fornece algum contexto preliminar para entender as possíveis motivações dos atacantes.
Combinando a pesquisa da Malwarebytes com o que eles haviam descoberto de forma independente, os pesquisadores da Kaspersky revisaram os dados de telemetria históricos em busca de conexões. Eventualmente, eles descobriram que parte da infraestrutura em nuvem e do malware usado pelo grupo tinha semelhanças com campanhas de espionagem na Ucrânia que a empresa de segurança ESET identificou em 2016, bem como campanhas descobertas pela empresa CyberX em 2017.
“O Malwarebytes descobriu mais sobre a fase inicial de infecção e, em seguida, descobriu mais sobre o instalador usado em alguns dos ataques do grupo desde 2020”, diz Georgy Kucherin, pesquisador de malware da Kaspersky. “Após publicarmos nosso relatório sobre o malware, decidimos examinar dados históricos sobre campanhas semelhantes que tinham alvos semelhantes e ocorreram no passado. Foi assim que descobrimos as duas campanhas semelhantes da ESET e da CyberX, e concluímos com média a alta confiança que as campanhas estão relacionadas e provavelmente são executadas pelo mesmo ator.”
A atividade diversificada ao longo do tempo tem uma vítima semelhante, o que significa que o grupo se concentrou nos mesmos tipos de alvos, incluindo funcionários pró-Rússia na Ucrânia e autoridades do governo ucraniano, políticos e instituições. Kucherin também observa que ele e seus colegas encontraram semelhanças e várias sobreposições no código dos plugins usados pelo malware do grupo. Alguns trechos de código parecem ter sido copiados e colados de uma campanha para a próxima. Os pesquisadores também observaram o uso semelhante de armazenamento em nuvem e formatos de arquivo característicos nos arquivos exportados pelo grupo para seus servidores.
A pesquisa da Malwarebytes publicada na semana passada documentou cinco campanhas desde 2020 realizadas pelo grupo de hackers, incluindo uma que visava um membro das Forças Armadas da Ucrânia que trabalha em infraestrutura crítica do país. Outra campanha tinha como alvo funcionários pró-Rússia envolvidos nas eleições no leste da Ucrânia, um conselheiro da Comissão Central de Eleições da Rússia e alguém que trabalha no setor de transporte da região.
Enquanto isso, a Malwarebytes descobriu que uma tática particularmente invasiva usada pelo grupo em uma campanha mais recente era gravar áudio diretamente dos microfones dos dispositivos comprometidos das vítimas, além de coletar outros dados, como documentos e capturas de tela. Em 2017, a CyberX chamou a campanha que estava rastreando de “Operation BugDrop” porque a campanha de espionagem visava várias vítimas ucranianas e “grampeava” conversas sensíveis por meio do controle remoto dos microfones dos PCs.
No trabalho realizado na semana passada, a Malwarebytes não conseguiu chegar a uma conclusão sobre os responsáveis pelo grupo e se eles estão alinhados com interesses russos ou ucranianos. Em 2016, a ESET encontrou evidências de que o malware da Operation Groundbait estava em uso desde 2008 e atribuiu a atividade à Ucrânia.
“Nossa pesquisa sobre essas campanhas de ataque e o próprio malware [Groundbait] sugerem que essa é a primeira vez que um malware ucraniano, conhecido publicamente, está sendo usado em ataques direcionados”, escreveu a ESET em 2016.
A Kaspersky cita essa conclusão em sua nova pesquisa, mas observa que a empresa não se dedica a atribuição estatal e não investigou nem verificou as descobertas da ESET.
Kucherin diz que o grupo tem conseguido permanecer em grande parte oculto por tanto tempo porque seus ataques são geralmente altamente direcionados, focando no máximo algumas dezenas de indivíduos de cada vez, em vez de realizar exploração em massa. O grupo também reescreve seus implantes de malware, o que os torna difíceis de serem conectados até que se tenha o quadro completo de várias cadeias de ataque. Ele acrescenta que a Ucrânia tem sido um campo de batalha digital tão intenso há tantos anos que outros atores e atividades parecem ter distraído os pesquisadores.
“A coisa mais interessante, talvez até chocante, é que o grupo tem atuado há 15 anos. Isso é muito tempo, e é bastante raro quando você consegue atribuir uma campanha a outra que aconteceu há anos e anos”, diz Kucherin. “Veremos mais atividades deles no futuro. Na minha opinião, é improvável que parem o que estão fazendo. Eles são muito, muito persistentes.”
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
