A Check Point Software Technologies divulga um relatório detalhando a descoberta de um grupo responsável por ataques persistentes, possivelmente originado no Líbano e com vínculos políticos.
Os pesquisadores do Grupo de Pesquisas de Vulnerabilidades e Malware da Check Point descobriram uma campanha de ataque denominada Volatile Cedar que utiliza um implante de malware customizado cujo codinome é Explosive.
Ativa desde o início de 2012, essa campanha tem conseguido penetrar em um grande número de alvos em todo o mundo e durante esse período permitiu que os invasores monitorassem as ações das vítimas e roubassem dados.
Até agora, podemos confirmar que as organizações atacadas incluem empresas de serviços de defesa, de telecomunicações e de mídia, assim como instituições de ensino. A natureza dos ataques e as repercussões a eles associadas sugerem que a motivação dos invasores não é financeira, mas sim extrair informações confidenciais dos alvos.
Descobertas principais:
- A Volatile Cedar é uma campanha bem gerenciada e com alvos de alto nível: seus alvos são cuidadosamente escolhidos confinando a disseminação da infecção ao mínimo necessário para atingir o objetivo do invasor, reduzindo ao máximo o risco de exposição.
- A primeira evidência de qualquer versão do Explosive foi detectada em novembro de 2012. Desde então, várias versões foram detectadas.
- O modo de agir desse grupo é atacar inicialmente servidores de web públicos com descoberta de vulnerabilidade tanto automática quanto manual.
- Após assumir o controle de um servidor, o invasor pode usá-lo como ponto central para explorar, identificar e atacar outros alvos localizados em camadas mais profundas da rede interna. Tem sido vistas evidências de hacking manual on-line, assim como um mecanismo de infecção de USB automatizado.
"A Volatile Cedar é uma campanha de malware muito interessante. Tem atuado continuamente e com sucesso durante todo esse período burlando a detecção por meio de uma operação bem planejada e cuidadosamente gerenciada que monitora constantemente as ações das vítimas e responde rapidamente a incidentes de detecção", afirma Dan Wiley, diretor da divisão de Respostas a Incidentes e Inteligência de Ameaças da Check Point Software Technologies. "Esse é um aspecto do futuro dos ataques direcionados: um malware que observa discretamente uma rede, rouba dados e pode se modificar rapidamente se for detectado pelos sistemas de antivírus. Chegou a hora de as organizações se tornarem mais proativas sobre a segurança de suas redes."
Os clientes da Check Point estão protegidos contra a Volatile Cedar por meio de várias assinaturas em diferentes módulos de segurança. As organizações podem se defender de um ataque como o da Volatile Cedar com uma infraestrutura inteligente de segurança que inclui a segmentação correta de firewall, IPS, anti-bot, patching, e configuração de controle de aplicação.
