Infraestrutura Industrial do sudeste asiático está sob ataque

O que foi descoberto

A Symantec descobriu que um grupo de ameaças tem como alvo quatro organizações de infraestrutura crítica localizadas em países do sudeste asiático.Os atacantes teriam como alvo organizações de energia, água, comunicações e defesa. O tipo de informação roubada ainda é desconhecido.

• Acredita-se que o objetivo da operação de espionagem cibernética seja a coleta de informações de estado-nação.
• Suspeita-se que tais operações estejam ocorrendo desde pelo menos novembro de 2020 e continuaram até pelo menos março.
• Os endereços IP, malware e modus operandi, junto com a localização das vítimas, implicam que todas as quatro organizações foram atacadas por um único grupo.
• Algumas evidências indicam que os invasores estão na China. No entanto, sua atividade não está relacionada a nenhum grupo de ameaça conhecido no momento.

Sobre os alvos

• Um dos ataques teve como alvo uma empresa de água , na qual os atacantes obtiveram acesso a uma máquina envolvida no projeto de sistemas SCADA. Outro alvo incluía uma empresa de energia, que foi comprometida por meio de um dispositivo de projeto de engenharia.
• O terceiro ataque teve como alvo uma empresa de comunicações, na qual o invasor explorou o Google Chrome Frame. O quarto ataque teve como alvo uma organização de defesa, na qual o PotPlayer Mini foi abusado por sequestro de ordem de pesquisa de DLL.

Ferramentas e metodologias de ataque

• O grupo usou várias ferramentas genuínas e de dupla finalidade, como ProcDump, Windows Management Instrumentation (WMI), PAExec, Mimikatz e PsExec.
• Ele comprometeu um reprodutor de multimídia gratuito para sequestro de DLL e um plugin do Internet Explorer chamado Google Chrome Frame. Além disso, os ataques usaram backdoor, keylogger e downloader.

Conclusão

Revelações sobre ataques de espionagem cibernética na China testemunharam um aumento acentuado nos últimos meses. Houve vários ataques a países do sudeste asiático por vários grupos chineses. Além disso, o crescente interesse em infraestrutura crítica, como sistemas ICS, tornou-se uma situação preocupante no cenário da segurança cibernética.

Fonte: https://cyware.com/