0
0
Hackers profissionais que já tentam esconder sua atividade através de uma série de meios técnicos agora parecem estar experimentando mais disfarces corporativos, criando empresas de fachada ou trabalhando como empreiteiros do governo para aumentar sua legitimidade.
A polícia dos EUA em setembro acusou hackers baseados no Irã e na China de realizar operações globais de espionagem enquanto aparentavam existir como empresas de tecnologia inócuas. Embora a natureza pública das acusações seja a prova de que os esforços não foram totalmente bem sucedidos, a tática marca uma evolução do uso de corporações fictícias desde que um grupo de golpistas financeiros roubou um relatório de US$ 1 bilhão se passando por uma empresa de testes de segurança cibernética.
“Isso só torna mais difícil descobrir quem está fazendo o que, e quais são suas motivações”, disse John Demers, procurador-geral assistente de segurança nacional dos EUA, sobre a aparente motivação em uma entrevista recente.
“Para uma empresa que sofreu uma brecha, isso pode jogá-lo fora do cheiro no início”, disse ele. “Dito isso, acho que conseguimos passar por esses véus… dessas empresas de fachada e temos sido capazes de obter atribuição. Mas isso permite alguma negação.
O Departamento de Justiça em 16 de setembro desfez uma acusação contra cinco homens chineses e dois cidadãos malaios por seu suposto papel em um esquema de espionagem de anos que infectou softwares incluindo Asus, CCleaner e Netsarang com malware.
Alguns suspeitos que trabalhavam como parte da maior operação funcionavam como parte do Chengdu 404, que se comercializava como uma empresa de testes de penetração com um “espírito patriótico”, afirma uma acusação.
Enquanto anunciava testes ofensivos de hackers, Chengdu 404 usou phishing e outros meios para violar mais de 100 organizações nos EUA, Coreia do Sul, Japão e outros países, de acordo com as acusações. Os hackers explorariam seu acesso para roubar código-fonte, certificados de assinatura de software e informações pessoalmente identificáveis em nome de Pequim, enquanto coletavam dinheiro para si mesmos. (As empresas de segurança vincularam a atividade ao APT41, uma unidade suspeita de espionagem cibernética chinesa que se acredita estar ligada ao Ministério da Segurança do Estado.)
Analistas de inteligência afirmam que o governo chinês começou a terceirizar o trabalho de espionagem cibernética para empresas não descritivas após um acordo de 2014 no qual os EUA e a China concordaram em não patrocinar nenhuma atividade cibernética maliciosa para ganho econômico.
“Na China, nem todas essas empresas são ’empresas de fachada’ no sentido estrito de que foram estabelecidas pelas agências de inteligência para esconder seu envolvimento”, disse Timo Steffens, pesquisador e autor de “Atribuição de Ameaças Persistentes Avançadas”, disse em uma mensagem no Twitter.
“O cenário APT na China é executado em uma abordagem ‘país inteiro’, aproveitando habilidades de universidades, setores individuais e privados e públicos”, disse ele. “Então, algumas das empresas menores podem ser apenas uma maneira de hackers individuais se unirem e serem elegíveis para contratos governamentais.”
A publicação da acusação contra os supostos hackers chineses veio um dia antes de o Departamento do Tesouro impor sanções contra 45 pessoas que diz estarem associadas a um grupo de hackers iraniano, e empresas de tecnologia que supostamente usaram para seu trabalho. Hackers patrocinados pelo Estado usaram a Rana Intelligence Computing Company para atingir dissidentes iranianos, jornalistas e empresas de viagens globais, disse o Tesouro.
Desde então, o FBI divulgou oito conjuntos de malware conectados a Rana, embora o FBI também tenha ligado ferramentas de teste de penetração de código aberto como Metasploit e Mimikatz ao grupo. As empresas legítimas de teste de caneta usam as mesmas ferramentas.
Uma história menos do que orgulhosa de hacks semelhantes
Táticas supostamente usadas por Chengdu 404 e pela empresa de tecnologia Rana vêm anos depois que a FIN7, uma notória gangue de crimes cibernéticos,usou o nome “Combi Security” para recrutar novos membros. O grupo teria roubado mais de US$ 1 bilhão de vítimas internacionais, incluindo o alvo de mais de 100 empresas nos EUA.
Promotores dos EUA dizem que três homens ucranianos presos em 2018 alegaram operar a Combi Security como uma empresa de testes de penetração legítima. Em vez de realmente realizar testes, no entanto, a empresa invadiu terminais de ponto de venda, roubou informações de cartão de crédito e invadiu grandes redes de restaurantes e varejo americanos.
Uma acusação contra o ex-administrador de TI da FIN7, Fedir Hladyr, incluiu alegações de que ele supervisionou ferramentas de rastreamento de projetos destinadas a fornecer atualizações de status sobre vários esforços da “empresa”. Em vez de exigir que os subordinados cumpram as metas de vendas, no entanto, hladyr instruiu os subordinados a adicionar código malicioso, dados de pagamento roubados e capturas de tela de empresas violadas. (Ele se declarou culpado em 2019.)
Nem todos os funcionários da Combi Security pareciam saber que estavam ajudando um grupo prolífico de golpistas, dizem pesquisadores de segurança agora. Empresas como FireEye e Kaspersky encontraram listas de empregos arquivadas associadas à Combi Security. É uma tática que teria permitido que a Combi Security entrasse em um pool de talentos cibernéticos que de outra forma seria reservado para empresas legítimas, disse Kimberly Goody, gerente sênior de análise de crimes cibernéticos da FireEye.
“Os criminosos precisam de mais operadores para implantar ferramentas contra mais vítimas”, disse ela. “Eles podem usar estudantes universitários, ou os equivalentes estrangeiros do LinkedIn ou De Fato, e podem procurar pessoas que tenham postado currículos. Então eles podem fazê-los acreditar que estão trabalhando para uma empresa legítima, e talvez pagar-lhes mais dinheiro ao longo do caminho.
FONTE: CYBERSCOOP