Os pesquisadores da Kaspersky Lab identificaram uma nova tendência entre os ciberespiões. Em vez de desenvolver ferramentas para invasão personalizadas ou adquiri-las clandestinamente de outros fornecedores, eles estão usando ferramentas limpas e abertas (open source) disponíveis online. Diversas campanhas de ciberespionagem utilizando este tipo de tecnologia foram identificadas pela empresa.
Esta tendência demonstra que as ferramentas de ataque estão ficando mais eficientes e acessíveis, e também reforça as razões para a crescente queda nos preços praticados para o desenvolvimento de novas técnicas de ciberataque. Isto significa que até grupos de hackers amadores, com poucas habilidades e recursos, podem representar uma real ameaça aos usuários e às empresas. Além disso, essas ferramentas são legítimas e, ao serem utilizadas em testes de penetração, dificultam a detecção dos ataques pelas soluções de segurança.
A ferramenta de exploração de navegadores conhecida como BeEF (Browser Exploitation Framework) é uma delas. Desenvolvida originalmente pela comunidade de segurança para melhorar e facilitar os testes em navegadores, ela está sendo usada pelos grupos de ciberespionagem para atacar vítimas ao redor do mundo.
Para explorar as vulnerabilidades nos navegadores das vítimas, os hackers injetam o BeEF em sites de seu interesse e ficam aguardando que as vítimas façam o acesso. O conteúdo do BeEF identifica com precisão o sistema e o usuário e permite roubar de credenciais de autenticação que, por sua vez, possibilitam infectar com outro malware o dispositivo atacado. Essa tática de infecção é chamada de “watering hole”, e vem sendo muito usada por ciberespiões.
“Antigamente, vimos grupos de ciberespionagem usando diferentes ferramentas de código aberto e legítimas para testes de penetração, podendo combiná-las com seu próprio malware ou não. A diferença é que agora vemos cada vez mais grupos usando o BeEF como uma alternativa atraente e eficaz. Isso deve ser considerado pelos departamentos de segurança das empresas para proteger suas organizações desta nova ameaça”, destaca Fabio Assolini, pesquisador sênior de segurança da Kaspersky Lab no Brasil.
O analista destaca ainda que o abuso de ferramentas legítimas em ciberataques também ocorre em golpes desenvolvidos no Brasil. “Vários trojans bancários brasileiros usam ferramentas limpas, como Gmer e Avenger, para remover do sistema infectado os plug-ins de segurança usados nos Internet Bankings. Chamamos isso de ‘fogo amigo’.”
Durante a pesquisa, os especialistas da Kaspersky Lab conseguiram identificar dezenas de sites de “watering hole”. A natureza e os temas desses sites oferecem fortes indícios sobre os tipos de alvos destes grupos:
– Revendedor brasileiro de instrumentos musicais
– Embaixada de países do Oriente Médio na Rússia
– Escola militar de tecnologia da Índia
– Escritório regional de um governo
– Espelho de verificação de sistemas de comunicação interna ucranianos
– Agência de apoio à diversificação da educação na União Europeia
– Organização russa de administração de comércio exterior
– Mídia progressista de notícias e política no Cazaquistão
– Organização de notícias turca
– Escola alemã especializada em música
– Organização de controle de qualidade de fábricas têxteis japonesas
– Organização voltada à responsabilidade social e filantropia no Oriente Médio
– Popular blog britânico de “estilo de vida”
– Plataforma de cursos online da Universidade da Argélia
– Grupo de construção chinês
– Empresa matriz e de desenvolvimento de negócios no exterior russa
– Fórum russo de desenvolvedores de jogos
– Desenvolvedor romeno de jogos do Steam
– Vendedor virtual chinês de jogos online
