0
0
A ameaça associada a grupos de hackers apoiados pelo estado-nação tem sido bem pesquisada e narrada nos últimos tempos, mas há outro conjunto igualmente perigoso de adversários que opera comparativamente nas sombras há anos.
Estes são grupos de hackers que se especializam em invadir sistemas e roubar e-mails e outros dados como um serviço. Seus clientes podem ser investigadores particulares, escritórios de advocacia, rivais de negócios e outros que não têm a capacidade de realizar esses ataques por conta própria. Esses mercenários cibernéticos geralmente anunciam abertamente seus serviços e têm como alvo qualquer entidade de interesse para seus clientes, ao contrário dos atores de ameaças persistentes avançadas (APT) apoiados pelo estado, que tendem a ser furtivos e têm missões específicas e um foco de alvo apertado.
Pesquisadores do Grupo de Análise de Ameaças (TAG) do Google divulgaram esta semana um relatório sobre a ameaça, usando ecossistemas de corte para aluguel na Índia, Rússia e Emirados Árabes Unidos como exemplos da natureza prolífica da atividade criminosa. Os pesquisadores da TAG identificaram os serviços oferecidos por mercenários cibernéticos como diferentes dos oferecidos pelos fornecedores de vigilância que vendem ferramentas e recursos para outros – como agências de inteligência e aplicação da lei – usarem.
Ampla gama de alvos
“A amplitude dos alvos em campanhas de hack-for-hire contrasta com muitas operações apoiadas pelo governo, que muitas vezes têm uma delineação mais clara de missão e metas”, disse Shane Huntley, diretor do Google TAG, em um blog na quinta-feira.
Como exemplo, ele apontou para uma operação recente que o Google observou em que uma empresa indiana de corte por aluguel teve como alvo uma empresa de TI em Chipre, uma empresa de compras em Israel, uma empresa de tecnologia financeira nos Bálcãs e uma entidade acadêmica na Nigéria. Em outras campanhas, o Google observou esses grupos visando defensores dos direitos humanos, jornalistas e ativistas políticos.
“Eles também realizam espionagem corporativa, obscurecendo facilmente o papel de seus clientes”, escreveu Huntley.
O relatório do Google sobre a atividade de hack-for-air coincidiu com um longo relatório investigativo da Reuters sobre como as partes envolvidas em litígios no tribunal contrataram nos últimos anos mercenários cibernéticos indianos para roubar informações do outro lado que lhes dariam uma vantagem na batalha.
A Reuters disse que foi capaz de identificar pelo menos 35 casos que remontam a 2013, quando alguém envolvido em uma ação judicial contratou hackers indianos para obter informações da entidade contra a qual estavam con litigando. Um deles envolveu uma batalha legal de US$ 1,5 bilhão entre o governo nigeriano e os herdeiros de um empresário italiano sobre o controle de uma empresa petrolífera.
Em cada um desses casos, os hackers enviaram e-mails de phishing para vítimas direcionadas com malware por roubar credenciais de suas contas de e-mail e outros dados.
Inúmeras vítimas de hacking
A Reuters disse que identificou cerca de 75 empresas americanas e europeias, três dúzias de grupos de defesa e vários executivos de negócios em países ocidentais que foram alvos desses ataques. Ao todo, durante o período de sete anos que foi o foco da investigação, os hackers indianos enviaram cerca de 80.000 e-mails de phishing para 13.000 alvos em vários países.
Entre aqueles cujas caixas de entrada de e-mail os atacantes tentaram acessar estavam pelo menos 1.000 advogados em 108 escritórios de advocacia, como Baker McKenzie e Cooley e Cleary Gottlieb nos EUA e Clyde & Co. e LALIVE na Europa.
A Reuters descreveu o relatório como sendo baseado em informações de entrevistas com vítimas, funcionários do governo dos EUA, advogados e documentos judiciais de sete países. Também ajudando na investigação foi um banco de dados dessas dezenas de milhares de e-mails enviados pelos hackers indianos que a Reuters disse ter recebido de dois provedores de e-mail.
“O banco de dados é efetivamente a lista de acertos dos hackers e revela um olhar de um segundo para quem os mercenários cibernéticos enviaram e-mails de phishing entre 2013 e 2020”, afirmou a história da Reuters.
Entre as entidades indianas que a Reuters nomeou em seu relatório estavam Appin, BellTroX e Cyberoot — todas compartilhadas com infraestrutura e equipe em algum momento.
Rastreando Campanhas Cibernéticas
O Google disse que também tem rastreado operadores indianos de hackers por aluguel, muitos dos quais estavam associados à Appin e ao BellTroX, desde 2012. Muita atividade se concentrou em organizações nos setores do governo, telecomunicações e saúde nos Emirados Árabes Unidos, Arábia Saudita e Bahrein, de acordo com a TAG.
O relatório do Google também descreveu operadores de hackers que os pesquisadores da TAG têm rastreado na Rússia e nos Emirados Árabes Unidos. Um deles é um ator russo anteriormente conhecido que outros se referiram como Void Balaur, que espionou milhares de indivíduos e roubou informações privadas sobre eles para venda a vários clientes.
Esta não é a primeira vez que os pesquisadores de segurança soam um aviso sobre hackers por contratação. A Trend Micro, por exemplo, informou sobre a ameaça do Void Balaur em novembro de 2021. Um ano antes, os pesquisadores de segurança da BlackBerry relataram sobre um grupo de corte por aluguel que havia observado chamado CostaRicto, que teve como alvo vítimas em vários países, muitos deles no sul da Ásia.
“O cenário de hack-for-hire é fluido, tanto na forma como os atacantes se organizam quanto na ampla gama de alvos que perseguem em uma única campanha a pedido de clientes díspares”, escreveu Huntley, da TAG.
FONTE: DARK READING