Grupos de hackers de aluguel lucram com a comoditização das táticas APT
Uma operação de hacker de aluguel foi encontrada conduzindo operações de espionagem cibernética contra uma empresa internacional de arquitetura e produção de vídeo que se envolve com incorporadores imobiliários de bilhões de dólares em Nova York e em outros lugares.
No período de pouco mais de três meses, os pesquisadores expuseram três grupos mercenários de “hackers de aluguel” envolvidos em espionagem industrial e roubando segredos corporativos para obter lucro.
Apesar de usar táticas, técnicas e procedimentos que são mais típicos de um grupo ATP de estado-nação, esses atores de ameaças – Dark Basin , DeathStalker e um terceiro grupo de entidades não identificado detalhado no final do mês passado pela Bitdefender – parecem não ter patrocinador governamental. Em vez disso, eles oferecem seus serviços de espionagem cibernética para quem der o lance mais alto, na forma de organizações ou indivíduos que buscam informações sobre sua concorrência comercial ou seus inimigos percebidos.
Esses grupos mercenários existem há muito tempo, mas esse conjunto rápido de descobertas sugere, no mínimo, uma possível tendência. Será que estamos testemunhando a primeira onda de um novo influxo de grupos APT para aluguel entrando no mercado da dark web, prontos para atacar os negócios?
Em um artigo recente, o Bitdefender disse que essa “comoditização dos grupos APT” “provavelmente se tornará o novo normal”.
“O fato de que mais fornecedores de segurança começaram a ver essas táticas e técnicas de estilo APT sendo usadas sugere que esta pode ser a última tendência e uma evolução natural para APTs como um serviço”, disse o coautor do white paper Liviu Arsene, analista de cibersegurança global da Bitdefender, em entrevista à SC Media. “Assim como o malware tradicional evoluiu para malware como serviço ou ransomware evoluiu para ransomware como serviço, era apenas uma questão de tempo – e uma evolução um tanto natural – antes que os hackers da APT começassem a oferecer seus contratos baseados em serviços e habilidades para o licitante mais alto. ”
E se for verdade, as empresas podem não estar prontas para isso – especialmente as menores.
“O risco real é que os hackers de aluguel da APT mudem a forma como as pequenas e médias empresas abordam a segurança”, disse Arsene. “Por exemplo, se uma pequena empresa do setor imobiliário ou de projeto arquitetônico não tivesse APTs em seu modelo de ameaça, agora há uma grande probabilidade de que ela enfrentasse ataques do tipo APT simplesmente porque são contratados em grandes projetos. O mesmo vale para qualquer empresa de pequeno e médio porte, o que significa que essa nova ameaça de APT como serviço pode desencadear uma onda de mudanças na forma como essas empresas planejam e implementam a segurança a partir de agora. ”
Brandon Hoffman, CISO da Netenrich, acredita que vários fatores podem estar por trás do surgimento dessas últimas entidades mercenárias de hackers.
“O mais notável é o sucesso que esses grupos têm. Quanto mais sucesso os grupos de mercenários tiverem, mais qualificados se voltarão para esse tipo de operação ”, disse Hoffman.
A maior disponibilidade de ferramentas de estilo APT pode ser outro fator. Em alguns casos, os mercenários podem até ser atores patrocinados pelo Estado que procuram ganhar um dinheiro extra durante seu tempo livre. “Vimos malware reaproveitado de atividade de estado-nação aparecer em crimes cibernéticos com motivação financeira, o que indica esse comportamento clandestino”, disse Hoffman. Outros atores, por sua vez, são “cibercriminosos estritamente motivados financeiramente” que estão “simplesmente procurando uma maneira nova ou mais limpa de monetizar suas habilidades além dos métodos tradicionais. Isso possivelmente está relacionado ao maior sucesso do antifraude e aos mecanismos limitados de saque disponíveis para os cibercriminosos. ”
E, finalmente, podemos encontrar mais desses grupos mercenários pelo simples fato de que os pesquisadores e analistas estão cada vez melhores em identificá-los. “Há um nível definido de esforço acontecendo no mundo da pesquisa à medida que as técnicas de identificação melhoram e a habilidade do pesquisador aumenta para expor esses grupos”, acrescentou Hoffman.
Stephen Boyce, consultor principal do Crypsis Group, concordou, observando que “nos últimos anos, houve um aumento na inteligência de código aberto e treinamento e certificações de ameaças cibernéticas, o que deu aos profissionais de segurança novas táticas, técnicas e procedimentos para rastreá-los, tornando suas atividades mais aparentes. ”
Um Trio de Problemas
Dark Basin, DeathStalker e o grupo exposto pelo Bitdefender cada um exibe seu próprio comportamento de ataque e direcionamento único.
Mais recentemente, a Bitdefender expôs um grupo de hackers de aluguel usando infraestrutura de comando e controle baseada na Coréia do Sul para conduzir operações de espionagem cibernética contra uma empresa internacional de produção de vídeo e arquitetura não identificada que se envolve com desenvolvedores imobiliários de bilhões de dólares em Nova York e em outras partes do mundo.
Isso leva a uma das perguntas mais intrigantes quando se trata desses grupos de hackers de aluguel: Quem está realmente os contratando?
E é aí que a trilha às vezes fica fria, já que esse tipo de serviço envolve o pagador no anonimato. De fato, “é extremamente difícil identificar a entidade contratante, a menos que o resultado do grupo mercenário seja exposto ou o TTP seja exclusivo para uma indústria específica”, disse Hoffman.
“Como os motivos por trás desses ataques geralmente não podem estar ligados a eventos econômicos ou políticos globais, mas sim a interesses específicos, é apenas uma questão de especulação sobre quem poderia ter apoiado a operação”, disse Arsene. “Por exemplo, no setor imobiliário, pode ser qualquer pessoa de um concorrente direto em investimentos imobiliários ou em serviços relacionados ao mercado imobiliário, como construção, publicidade ou arquitetura.
A Bitdefender ecoou esse sentimento em seu white paper, afirmando: “A comoditização de hackers de aluguel no nível APT poderia potencialmente atrair investidores rivais de imóveis de luxo envolvidos em contratos de bilhões de dólares a buscar esses serviços para espionar seus concorrentes infiltrando seus contratados. A espionagem industrial não é novidade e, como o setor imobiliário é altamente competitivo, com contratos avaliados em bilhões de dólares, as apostas são altas para ganhar contratos para projetos de luxo e pode justificar recorrer a grupos APT mercenários para obter uma vantagem de negociação. ”
A Bitdefender disse que os atacantes estavam familiarizados com os sistemas de segurança e aplicativos de software da empresa da vítima, o que lhes permitiu comprometer a rede usando um plugin trojanizado para o software de computação gráfica 3ds Max da Autodesk.
O plug-in, denominado PhysXPluginMfx, foi projetado para abusar da linguagem de script integrada MAXscript do software (consulte o comunicado da Autodesk aqui ) e, em seguida, infectar as vítimas com um binário que lista, compacta e carrega uma lista de arquivos específicos e um infostealer que pode executar a tela capturar e coletar dados de máquina do usuário.
No início de agosto, a Kaspersky publicou um perfil do DeathStalker (também conhecido como Deceptikons), um grupo acusado de ter como alvo escritórios de advocacia; organizações do setor financeiro, incluindo SMBs; e outras verticais. Pesquisadores da Kaspersky dizem que o grupo realiza espionagem por meio de três famílias de malware Powersing, Evilnum e Janicab. ”
Os atores por trás desse grupo “não implantam ransomware, roubam informações de pagamento para revendê-las ou se envolvem em qualquer tipo de atividade comumente associada ao submundo do crime cibernético. Seu interesse em coletar informações comerciais confidenciais nos leva a acreditar que DeathStalker é um grupo de mercenários que oferece serviços de hacking para aluguel ou atua como algum tipo de corretor de informações nos círculos financeiros ”, relatou Kasperksy.
“As ferramentas eram indicativas de uma pequena equipe que favorecia métodos testados e comprovados em vez da inovação, com ciclos de desenvolvimento muito curtos”, disse Ivan Kwiatkowski, pesquisador de segurança sênior da Equipe de Pesquisa e Análise Global da Kaspersky (GReAT), à SC Media. E a segmentação “parecia estar em todos os lugares, o que interpretamos como sendo ditada por fatores externos (ou seja, solicitações do cliente) em vez de uma estratégia de longo prazo”.
Exposto em junho passado pelo Citizen Lab, DarkBasin foi encontrado para atingir milhares de indivíduos – incluindo jornalistas e funcionários do governo – e centenas de instituições, como grupos de defesa, fundos de hedge e negócios em vários setores. Parece que a certa altura o grupo foi contratado para manter o controle digital sobre os defensores da neutralidade da rede, bem como as organizações da causa #ExxonKnew, que alegam que a empresa petrolífera escondeu evidências das mudanças climáticas.
Fonte: https://www.scmagazine.com/home/security-news/apts-cyberespionage/newly-exposed-hacker-for-hire-groups-profit-from-the-commoditization-of-apts
Imagem: C. Taylor Crothers / Getty Images
