Grupo chinês teria roubado dados de empresas desde 2019 sem ser descoberto

Grupo chinês teria roubado dados de empresas desde 2019 sem ser descoberto

Por Felipe Demartini | Editado por Claudio Yuge | 05 de Maio de 2022 às 13h19
Damien TUPINIER/Unsplash

Um grupo de cibercriminosos supostamente ligados ao governo da China passou despercebido desde 2019, enquanto roubava documentos, tecnologias e segredos industriais de companhias de três continentes. A operação de espionagem seria financiada pelo país e pode ser considerada uma das maiores da história recente em nível de danos financeiros.

Organizações da América do Norte, Europa e sudeste da Ásia seriam os alvos principais alvos do grupo Winnti, também conhecido como APT41. Na chamada Operação CuckoBees, descoberta pelos especialistas em segurança do Cybereason, os malwares de espionagem eram inseridos a partir de vulnerabilidades zero-day em plataformas de ERP, que serviam como vetor de entrada para estabelecer permanência nas máquinas e iniciassem a varredura remota das informações.

Brechas no Windows, por exemplo, eram usadas para inserção de códigos maliciosos, que realizavam as tarefas de reconhecimento sem despertar suspeitas. Credenciais também poderiam ser furtadas a partir de navegadores e sistemas de autenticação. Uma versão customizada maliciosamente do WinRAR era usada para compactar e enviar as informações relevantes de volta aos criminosos.

Sequência de ataque do grupo Winnti, que usou brechas e ferramentas sofisticadas, focadas no Windows, para roubar segredos industriais durante anos em três continentes (Imagem: Reprodução/Cybereason)

De acordo com os pesquisadores, um dos segredos que permitiu à operação permanecer tanto tempo escondida é o abuso de um sistema do Windows chamado CLFS, que serve para registrar logs do sistema. A tecnologia usa um tipo de arquivo que só é acessível à API da própria plataforma e passa despercebida por inspeções humanas e sistemas de segurança automatizados enquanto é usado para armazenar informações e comandos até a extração pelos criminosos.

Os especialistas também destacam o uso do Winnkit, um pacote de ferramentas maliciosas que usa certificados furtados de outras empresas e, mesmo amplamente conhecido, ainda pode passar despercebido por plataformas de proteção. É ele o sistema usado para injetar módulos maliciosos em processos legítimos do Windows, o que também propicia a execução remota de códigos e a permanência nas máquinas contaminadas.

O resultado da Operação CuckoBees, segundo a Cybereason, seriam centenas de gigabytes extraídos de dezenas de companhias, com perdas financeiras inestimáveis. Os pesquisadores apontam que essa pode ser apenas a ponta do iceberg; a sofisticação da operação indica que golpes ainda mais engenhosos podem estar em andamento, ainda despercebidos.

Por outro lado, a recomendação de segurança para evitar espionagem dessa categoria é trabalhar de forma apurada com os dispositivos e servidores, investindo em monitoramento de tráfego e segmentação, principalmente de máquinas que contenham segredos sensíveis. Manter todos os sistemas sempre atualizados e configurados corretamente também ajuda a evitar intrusões, pelo menos, no que toca as brechas mais comuns e já conhecidas, mas ainda amplamente exploradas pelos criminosos.

Fonte: Cybereason

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.