Nenhum comentário

Hackers chineses são pegos roubando propriedade intelectual de empresas multinacionais

 

Uma campanha de ciberespionagem indescritível e sofisticada orquestrada pelo grupo Winnti, apoiado pela China, conseguiu voar sob o radar desde pelo menos 2019.

Apelidada de “Operação CuckooBees” pela empresa israelense de segurança cibernética Cybereason, a enorme operação de roubo de propriedade intelectual permitiu que o agente da ameaça exfiltrasse centenas de gigabytes de informações.

Os alvos incluíam empresas de tecnologia e manufatura localizadas principalmente no leste da Ásia, Europa Ocidental e América do Norte.

“Os invasores visaram a propriedade intelectual desenvolvida pelas vítimas, incluindo documentos confidenciais, projetos, diagramas, fórmulas e dados proprietários relacionados à fabricação”, os pesquisadores disse.

“Além disso, os invasores coletaram informações que podem ser usadas para futuros ataques cibernéticos, como detalhes sobre as unidades de negócios da empresa-alvo, arquitetura de rede, contas e credenciais de usuários, e-mails de funcionários e dados de clientes”.

Winnti, também rastreado por outros fornecedores de segurança cibernética sob os nomes APT41, Axiom, Barium e Bronze Atlas, é conhecido por estar ativo desde pelo menos 2007.

“A intenção do grupo é roubar propriedade intelectual de organizações em economias desenvolvidas e com confiança moderada de que isso é em nome da China para apoiar a tomada de decisões em vários setores econômicos chineses”, Secureworks observações em um perfil de ameaça do ator.

A cadeia de infecção em várias fases documentada pela Cybereason envolve a exploração de servidores voltados para a Internet para implantar um shell da Web com o objetivo de realizar atividades de reconhecimento, movimentação lateral e exfiltração de dados.

É complexo e intrincado, seguindo uma abordagem de “castelo de cartas” em que cada componente do killchain depende de outros módulos para funcionar, tornando a análise extremamente difícil.

“Isso demonstra o pensamento e o esforço que foram colocados tanto no malware quanto nas considerações de segurança operacional, tornando quase impossível analisar a menos que todas as peças do quebra-cabeça sejam montadas na ordem correta”, explicaram os pesquisadores.

A coleta de dados é facilitada por meio de um carregador modular chamado Spyder, que é usado para descriptografar e carregar cargas adicionais. Também são usados ​​quatro payloads diferentes — STASHLOG, SPARKLOG, PRIVATELOG e DEPLOYLOG — que são implantados sequencialmente para eliminar o WINNKIT, um rootkit no nível do kernel.

Crucial para a discrição da campanha é o uso de técnicas “raramente vistas”, como o abuso do Windows Common Log File System (CLFS) para esconder as cargas, permitindo que o grupo de hackers oculte suas cargas e evitar a detecção por produtos de segurança tradicionais.

Curiosamente, partes da sequência de ataque foram detalhadas anteriormente pela Mandiant em setembro de 2021, apontando o uso indevido do CLFS para ocultar cargas úteis de segundo estágio na tentativa de contornar a detecção.

A empresa de segurança cibernética atribuiu o malware a um ator desconhecido, mas alertou que ele poderia ter sido implantado como parte de uma atividade altamente direcionada.

“Como o formato do arquivo não é amplamente usado ou documentado, não há ferramentas disponíveis que possam analisar arquivos de log CLFS”, Mandiant disse na época. “Isso oferece aos invasores a oportunidade de ocultar seus dados como registros de log de maneira conveniente, porque eles são acessíveis por meio de funções da API”.

O WINNKIT, por sua vez, tem um carimbo de data/hora de compilação de maio de 2019 e quase detecção zero rate no VirusTotal, destacando a natureza evasiva do malware que permitiu que os autores permanecessem desconhecidos por anos.

O objetivo final das invasões, avaliaram os pesquisadores, é extrair informações proprietárias, documentos de pesquisa, código-fonte e projetos para várias tecnologias.

“Winnti é um dos grupos mais industriosos que operam em nome dos interesses alinhados ao estado chinês”, disse a Cybereason. “A ameaça [ator] empregou uma elaborada cadeia de infecção em vários estágios que foi fundamental para permitir que o grupo permanecesse indetectado por tanto tempo”.

 

Fonte: TheHackerNews

Você pode gostar também

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado.

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.