Cibercriminosos usam falha já corrigida para invadir empresa ligada a militares

Cibercriminosos usam falha já corrigida para invadir empresa ligada a militares

Por Márcio Padrão | Editado por Claudio Yuge | 17 de Junho de 2022 às 13h20
Envato/LightFieldStudios

Cibercriminosos norte-coreanos teriam invadido a rede de uma empresa de engenharia ligada a organizações militares e energéticas, de acordo com o site ZDNet. Eles exploraram uma falha de cibersegurança na Log4j, uma biblioteca de registros Java muito usada por desenvolvedores.

Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que os invasores executem à distância o código invasor e obtenham acesso a computadores que usam o Log4j. Algumas empresas e entidades já haviam adotado proteções contra a falha, mas outros ainda estavam expostas — como foi o caso desta empresa de engenharia, que não teve seu nome divulgado.

Como os Cibercriminosos da Coreia do Norte atuaram

De acordo com pesquisadores da empresa de cibersegurança Symantec, a invasão à empresa atacada ocorreu quando os cibercriminosos exploraram a brecha em um servidor VMware View voltado para o público em fevereiro deste ano. A partir daí, os criminosos puderam atuar na rede interna da companhia e comprometer pelo menos 18 computadores. A VMware já havia lançado uma correção para esta falha desde dezembro do ano passado, com uma atualização em abril deste ano.

Ataque coordenado foi realizado pela organização hacker norte-coreana Stonefly, diz Symantec (Imagem: Reprodução/Pexels/cottonbro)

A análise da Symantec sugere que o ataque coordenado foi realizado por uma organização chamada Stonefly, também conhecido como DarkSeoul, BlackMine, Operação Troy e Silent Chollima, que é um grupo de espionagem que trabalha fora da Coreia do Norte.

Outros pesquisadores acreditam que a Stonefly, que atua desde 2009, tem ligações com o Lazarus, operação de cibercriminosos mais conhecida da Coreia do Norte. No entanto, este último grupo se concentra em roubar dinheiro e criptomoedas, enquanto a Stonefly se especializou em espionagem e ataques seletivos contra alvos de inteligência, incluindo setores de energia, aeroespacial e militar.

Uma das formas de atuação do grupo é implantar códigos que roubam senhas e malware do tipo trojan (cavalo de Troia, isto é, que se disfarça de programas inofensivos) em redes que tiveram sua segurança comprometida. No caso da empresa de engenharia, o primeiro vírus foi instalado na rede poucas horas após a invasão inicial.

Uma das ferramentas implantadas no incidente foi uma versão atualizada do malware backdoor Preft, que foi enviado em etapas. Quando totalmente executado, torna-se uma ferramenta capaz de baixar e carregar arquivos e informações das máquinas, além de se desinstalar quando não é mais necessário. O Stonefly também enviou um programa ladrão de informações desenvolvido sob medida para agir como uma forma alternativa de vazamento de dados.

Fonte: ZDNet

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.