Cibercriminosos usam falha já corrigida para invadir empresa ligada a militares

Cibercriminosos norte-coreanos teriam invadido a rede de uma empresa de engenharia ligada a organizações militares e energéticas, de acordo com o site ZDNet. Eles exploraram uma falha de cibersegurança na Log4j, uma biblioteca de registros Java muito usada por desenvolvedores.

• O que são crackers e hackers? Qual a diferença entre eles e como combatê-los
• Americanas sofre prejuízo de quase R$ 1 bilhão com ataque hacker

Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que os invasores executem à distância o código invasor e obtenham acesso a computadores que usam o Log4j. Algumas empresas e entidades já haviam adotado proteções contra a falha, mas outros ainda estavam expostas — como foi o caso desta empresa de engenharia, que não teve seu nome divulgado.

Como os Cibercriminosos da Coreia do Norte atuaram

De acordo com pesquisadores da empresa de cibersegurança Symantec, a invasão à empresa atacada ocorreu quando os cibercriminosos exploraram a brecha em um servidor VMware View voltado para o público em fevereiro deste ano. A partir daí, os criminosos puderam atuar na rede interna da companhia e comprometer pelo menos 18 computadores. A VMware já havia lançado uma correção para esta falha desde dezembro do ano passado, com uma atualização em abril deste ano.

A análise da Symantec sugere que o ataque coordenado foi realizado por uma organização chamada Stonefly, também conhecido como DarkSeoul, BlackMine, Operação Troy e Silent Chollima, que é um grupo de espionagem que trabalha fora da Coreia do Norte.

Outros pesquisadores acreditam que a Stonefly, que atua desde 2009, tem ligações com o Lazarus, operação de cibercriminosos mais conhecida da Coreia do Norte. No entanto, este último grupo se concentra em roubar dinheiro e criptomoedas, enquanto a Stonefly se especializou em espionagem e ataques seletivos contra alvos de inteligência, incluindo setores de energia, aeroespacial e militar.

Uma das formas de atuação do grupo é implantar códigos que roubam senhas e malware do tipo trojan (cavalo de Troia, isto é, que se disfarça de programas inofensivos) em redes que tiveram sua segurança comprometida. No caso da empresa de engenharia, o primeiro vírus foi instalado na rede poucas horas após a invasão inicial.

Uma das ferramentas implantadas no incidente foi uma versão atualizada do malware backdoor Preft, que foi enviado em etapas. Quando totalmente executado, torna-se uma ferramenta capaz de baixar e carregar arquivos e informações das máquinas, além de se desinstalar quando não é mais necessário. O Stonefly também enviou um programa ladrão de informações desenvolvido sob medida para agir como uma forma alternativa de vazamento de dados.

Fonte: ZDNet