Hackers usam LinkedIn para iniciar operação de espionagem internacional

Por Felipe Demartini | 17 de Junho de 2020 às 06h30
DepositPhotos

Empresas europeias dos setores militar e aeroespacial foram alvo de uma campanha complexa de roubo de informações que teria sido orquestrada por hackers ligados ao governo da Coreia do Norte. A operação de espionagem aconteceu entre os meses de setembro e dezembro do ano passado e teve o LinkedIn como um de seus principais vetores de infecção e acesso a redes internas.

A descoberta foi revelada nesta semana pela ESET e batizada de Operation In(ter)ception, ou Operação Interceptação. De acordo com o diretor de pesquisas em segurança da empresa, Jean-Ian Boutin, todo o processo começava com uma mensagem relativamente simples, mas bastante perigosa, envolvendo novas e polpudas ofertas de emprego para funcionários já atuantes nos setores, enviando arquivos para preenchimento que, na realidade, continham os malwares utilizados na operação de espionagem.

A pesquisa não revelou as empresas atingidas, mas indicou que os criminosos tentavam se passar por recrutadores de dois nomes reconhecidos do segmento militar: a Collins Aerospace e a General Dynamics, ambas portadoras de contratos governamentais e com forte atuação na iniciativa privada. Em todos os casos, pressões relacionadas a respostas rápidas e envio de informações para avaliação das propostas de emprego eram exercidas sobre os alvos, de forma que eles pensassem pouco antes de atenderem às solicitações.

Contato inicial com os alvos acontecia pelo LinkedIn, em nome de grandes empresas do setor e com ofertas interessantes de trabalho (Imagem: Reprodução/ESET)

“Esse é um comportamento padrão dos hackers, mas os indícios de se tratar de uma campanha maliciosa já aparecem nas mensagens iniciais”, explica Boutin, indicando a presença de erros de grafia no texto. Caso os supostos candidatos mordessem a isca, também receberiam indicações detalhadas sobre como lidar com os arquivos ou em quais aplicativos deveriam executá-los, o que também serve como indício de que o golpe se apoia em vulnerabilidades específicas.

O nome da campanha foi dado a partir do malware utilizado para a intrusão, que vem disfarçado como o arquivo Inception.dll. Ele se instala a partir de arquivos PDF que, na superfície, contêm listas de salários de acordo com cargo e indicações de vagas disponíveis nas empresas, mas escondia uma sequência de etapas de infecção para roubo de dados como contratos confidenciais e informações técnicas dos produtos das companhias que serviam de alvo.

Quando o contato não era possível por meio do LinkedIn, os hackers criavam contas de e-mail em domínios semelhantes aos das empresas supostamente interessadas nos candidatos, enviando mensagens em nome de executivos e membros reais dos setores de recursos humanos e diretoria destas companhias. As identidades eram as mesmas usadas nos perfis da rede social, enquanto os arquivos eram hospedados em contas básicas do OneDrive, o serviço de armazenamento em nuvem da Microsoft.

A insistência e o direcionamento na escolha de alvos são os principais indícios que apontam para uma operação a serviço governamental. Boutin explica que, por mais que não seja possível afirmar isso com certeza, o funcionamento da exploração traz similaridades com outras campanhas realizadas pelo Lazarus Group, uma quadrilha de hackers que esteve envolvida em outros casos ligados ao governo da Coreia do Norte, como o vazamento de e-mails da Sony Pictures, em 2014, ou um recente golpe no valor de US$ 80 milhões, praticado contra um banco de Bangladesh.

Existem similaridades em códigos, informações de programação, nomes de usuário e até variações de malware que ligam a campanha contra empresas militares europeias a tais casos. Apesar disso, evidências claras não puderam ser encontradas e, da mesma maneira, os criminosos conseguiram tornar sua atuação difusa o suficiente para que não seja possível nem mesmo descobrir quais eram os arquivos mais visados por eles.

Segunda etapa da campanha também visava a monetização da exploração, com documentos enviados a clientes dos alvos para pagamento. Tentativa falhou e levou à detecção da campanha (Imagem: Reprodução/ESET)

O especialista, entretanto, aponta para uma segunda etapa da campanha, que visava monetizar o acesso obtido às redes internas das empresas que foram alvo. Como forma de financiar as próprias operações, ou possíveis regimes para os quais trabalham, os hackers criaram contas de e-mail falsas e geraram documentos para pagamento, que eram enviados a clientes das empresas que serviam de alvo. Essa fase, entretanto, não foi bem-sucedida, já que a suspeita levou a um contato entre as partes e à descoberta da fraude.

A campanha é complexa, mas, segundo Doutin, carrega similaridades com outros casos conhecidos de fraude empresarial, o que facilita o combate. “É preciso informar os colaboradores sobre isso e garantir que eles conheçam os executivos com quem se comunicam”, afirma. Ele também dá outras dicas que envolvem o monitoramento da rede, em busca de acesso não-identificado ou autorizado, e o uso de soluções de segurança que bloqueiem a execução de arquivos maliciosos.

Ainda, o especialista indica que, quando possível, o ideal é bloquear o acesso a serviços de hospedagem na nuvem, já que essas plataformas costumam ser usadas para disseminação de malwares. Além disso, como sempre, é importante ter sistemas sempre atualizados, de forma que brechas conhecidas não possam ser exploradas de maneira maliciosa.

ATUALIZAÇÃO 17/06/2020 14h25: Em contato com o Canaltech, o LinkedIn afirmou manter um controle frequente de contas falsas ou que estejam aplicando fraudes contra os usuários da plataforma. De acordo com a empresa, sinais de atividades apoiadas por órgãos governamentais, equipes de revisores e tecnologias automatizadas de inteligência e análise ajudam a manter esse controle, com a suspensão permanente dos perfis.

O LinkedIn lembrou ainda que a criação de contas falsas ou a realização de atividades irregulares com a intenção de enganar ou mentir vai contra os termos de serviço da rede social. Confira o comunicado na íntegra:

Monitoramos frequentemente sinais de atividades apoiadas por órgãos governamentais na plataforma e rapidamente agimos contra malfeitores a fim de proteger nossos usuários. Não esperamos por alertas, nossa equipe de inteligência e análise de ameaças remove contas falsas usando informações detectadas por meio de várias fontes, incluindo agências do governo. Temos equipes de revisores treinados que também utilizam uma série de tecnologias automatizadas, combinadas com relatórios de usuários, para mantê-los a salvo de todos os tipos de fraudes. Nossas políticas são muito claras: a criação de contas falsas ou atividades fraudulentas com a intenção de enganar ou mentir caracteriza uma violação de nossos termos de serviço. Nesse caso, detectamos abusos que envolviam a criação de contas falsas e agimos imediatamente, suspendendo permanentemente os perfis.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.