DOD, DHS expõe campanha de hacking na Rússia, Ucrânia, Índia e Malásia

O malware, que o Cyber ​​Command militar   apelidou de “SlothfulMedia”, é um ladrão de informações capaz de registrar as teclas digitadas pelas vítimas e modificar arquivos, de acordo com uma análise compartilhada anteriormente com a CyberScoop. As agências compartilharam a amostra de malware no repositório de compartilhamento de malware no VirusTotal na  tarde de quinta-feira .

O malware “está em uso em campanhas contínuas de sucesso”, disse um porta-voz do Cyber ​​Command à CyberScoop. O DOD e o DHS não informaram que grupo de ameaças ou estado-nação pode estar executando a campanha de malware. O relatório também não menciona metas específicas.

É o mais recente esforço do Pentágono para expor o malware usado por hackers com bons recursos em todo o mundo. O Cyber ​​Command, que primeiro começou a expor campanhas de hackers apoiadas pelo estado compartilhando amostras de malware com o público em 2018, já havia exposto hackers por estados-nações estrangeiros em seus lançamentos públicos, incluindo operações na Coreia do Norte, Rússia, Irã e China.

Hackers ligados ao governo chinês já visaram entidades da Malásia e da Índia , de acordo com pesquisadores de segurança cibernética, enquanto os hackers russos são conhecidos por executar operações de espionagem cibernética contra alvos na Ucrânia, Cazaquistão e Quirguistão . Os atacantes chineses também invadiram alvos no Cazaquistão. O Cyber ​​Command não retornou imediatamente a solicitação de comentário sobre a atribuição.

A Cyber ​​Command National Mission Force (CNMF) do Cyber ​​Command e a agência de segurança cibernética do DHS, a Cybersecurity and Infrastructure Security Agency , analisaram o malware em conjunto, de acordo com o relatório.

O esforço do DOD-DHS para expor o malware ocorre no momento em que o governo federal está trabalhando para reformular seus esforços para responsabilizar hackers vinculados a governos estrangeiros . A vice-diretora assistente da Divisão Cibernética do FBI , Tonya Ugoretz, disse à CyberScoop no mês passado, por exemplo, que a nova estratégia cibernética do bureau está focada em uma melhor combinação de esforços entre as agências do governo federal para impor custos aos adversários, quer isso signifique os federais sancionar os hackers, optar por uma resposta militar – como esta análise do Cyber ​​Command e da CISA divulgada na quinta-feira – ou indiciar os hackers pelo sistema de justiça criminal.

Um porta-voz do Cyber ​​Command disse à CyberScoop que estava divulgando as informações na quinta-feira em parte porque a campanha estava em andamento, acrescentando que o governo espera que as informações ajudem a melhorar as defesas da rede contra a operação de hackers maliciosos.

O malware implanta dois arquivos maliciosos contra os alvos, de acordo com o Cyber ​​Command Cyber ​​National Mission Force (CNMF) e o DHS. Um dos arquivos implantados, um trojan de acesso remoto (RAT), é capaz de capturar imagens, modificar arquivos nas máquinas das vítimas, encerrar processos e executar comandos arbitrários, de acordo com o Malware Analysis Report. O RAT, denominado mediaplayer.exe, também parece se comunicar com um servidor de comando e controle controlado por um invasor por meio do Protocolo de Transferência de Hipertexto (HTTP) sobre Protocolo de Controle de Transmissão (TCP). O segundo arquivo exclui o RAT.

Os hackers também criam um serviço para estabelecer persistência mesmo quando os alvos são reinicializados, de acordo com o relatório do DOD e do DHS.

Fonte: https://www.cyberscoop.com/dod-dhs-cyber-command-cisa-hacking-russia-ukraine-india-malaysia/