Google revela nova operação de ataque contra profissionais de segurança

Pesquisadores do Google trouxeram à público mais uma campanha de ataques digitais que parece focar nos especialistas em segurança. Os responsáveis seriam os mesmos de uma operação detonada originalmente em janeiro, que usava brechas conhecidas em navegadores populares para comprometer máquinas usadas pelos profissionais, instalar malwares e extrair dados pessoais e credenciais de acesso.

• Google descobre ações da Coreia do Norte contra pesquisadores de segurança
• Russos podem ter acessado e-mails do governo Trump após brecha da SolarWinds
• Novo malware já roubou 900 mil senhas via campanha de phishing no Brasil

Mais uma vez, também, o caso parece estar relacionado à ação de criminosos sob o comando do governo da Coreia do Norte. Não apenas o modo de operação é semelhante à campanha anterior, com perfis em redes sociais e sites falsos de supostos serviços de segurança, mas indicações em tais contas também fazem menções nada sutis a grupos conhecidos que trabalham para o país asiático.

É o caso, por exemplo, de Sebastian Lazarescue, um suposto pesquisador em segurança de uma empresa chamada Securielite, de origem turca. A companhia oferece serviços de análise em segurança digital, avaliação de riscos a partir de explorações comuns e testes de penetração em um site com aparência de legitimidade, enquanto pelo Twitter e LinkedIn, o indivíduo citado adiciona colegas e divulga oportunidades.

Entretanto, quem acompanha o noticiário vai notar uma peculiaridade no sobrenome, que remete ao Grupo Lazarus, uma das principais forças de combate digital ligadas ao governo norte-coreano. A nova campanha envolve sete contas no Twitter e outras seis no LinkedIn, além dos perfis corporativos da própria SecuriElite. Todos se seguem e interagem entre si, como mais uma forma de dar aparência de legitimidade a toda a ação.

Por trás da ação, está a ativação de explorações nos navegadores como forma de instalar malwares e obter credenciais de acesso a sistemas, principalmente, corporativos. Entretanto, segundo o Google, os trabalhos parecem estarem em uma etapa preliminar, já que, por mais que a brecha esteja presente, conteúdos maliciosos ainda não estão sendo servidos pelos sites ou perfis associados à campanha.

A empresa disse, ainda, que informou às redes sociais sobre a existência dos perfis falsos e adicionou os domínios ligados à SecuriElite à lista do Chrome, de forma que um aviso aos usuários seja exibido no momento do acesso. Ainda assim, a recomendação é de cautela já que o preparo para uma nova operação pode indicar a posse de novas explorações, malwares e, principalmente, aberturas zero-day ainda não conhecidas, que podem ser utilizadas em ataques pelo Lazarus Group.

Em janeiro, após a revelação da primeira onda de ataques, o governo da Coreia do Norte negou envolvimento em operações digitais contra pesquisadores em segurança. O país ainda não se pronunciou sobre esta nova onda de tentativas.

Fonte: Google