0
0
Um grupo de ameaças que se autodenomina Atlas Intelligence Group (AIG, também conhecido como Atlantis Cyber-Army) surgiu recentemente com o que parece ser um modelo de crime cibernético um pouco diferente – e potencialmente definidor de tendências.
Pesquisadores da Cyberint que foram os primeiros a identificar o grupo descreveram o agente da ameaça como vendendo uma variedade de serviços por meio de seu site principal, incluindo acesso a bancos de dados roubados, vazamentos de dados exclusivos, serviços distribuídos de negação de serviço (DDoS) e acesso inicial para redes corporativas por meio de clientes RDP e shells da Web. A Cyberint disse esta semana que seus pesquisadores identificaram a AIG em maio e a observaram crescendo rapidamente desde então.
O que torna o agente da ameaça diferente da miríade de outros com ofertas semelhantes é o fato de que os próprios operadores parecem estar terceirizando totalmente as atividades reais de hackers para cibermercenários independentes que não têm conexão direta com a operação. Por exemplo, quando um cliente compra serviços de DDoS, roubo de dados ou spam malicioso da AIG, o grupo anuncia e contrata contratados independentes para executar as tarefas reais. Isso é diferente da maioria dos grupos de ameaças. que recrutam e mantêm a mesma equipe de hackers para diferentes campanhas.
Um modelo para OpSec
O modelo da AIG parece projetado para garantir um alto nível de segurança de operações para seus líderes, mantendo-os segregados daqueles que realizam a atividade criminosa de hackers, de acordo com a Cyberint.
“A AIG é o primeiro grupo que vejo que está usando esse modelo de negócios”, diz Shmuel Gihon, pesquisador de segurança da Cyberint. “Toda equipe tem seus líderes e toda equipe tem membros-chave. Mas aqui é diferente: temos um líder que controla tudo e todos.”
O modelo de negócios da AIG parece projetado para tirar proveito do número crescente de grupos de hackers de aluguel que começaram a surgir em todo o mundo nos últimos anos. Os grupos, muitos dos quais operam na Índia, Rússia ou Emirados Árabes Unidos , são especializados em invadir redes de destino , roubar dados e realizar uma variedade de outras atividades maliciosas em nome dos clientes que os contratam. Um exemplo desse grupo é o “Void Balaur”, com sede na Rússia, um grupo de cibermercenários que pesquisadores da Trend Micro e outros vincularam a ataques a milhares de organizações e indivíduos por vários anos.
Gihon diz que a análise da Cyberint das atividades da AIG mostra que ela está sendo administrada por um indivíduo secreto usando o apelido “Mr. Eagle”. Esse indivíduo parece responsável por iniciar todas as campanhas e planos da AIG. Até agora, a Cyberint conseguiu identificar pelo menos quatro outros indivíduos que operam sob esse líder e que são responsáveis por tarefas como anunciar os serviços do grupo, comunicar-se com os clientes e operar seus canais de Telegram.
“O que os diferencia é o fato de serem muito bons [em] se tornar anônimos e abordar essa operação como empreendedores e não como técnicos”, diz Gihon. O comportamento do grupo sugere que os membros principais – ou pelo menos seu líder – eram red teamers ou hackers maliciosos que decidiram liderar em vez de operar.
“Eles estão na darknet e na indústria de crimes cibernéticos há algum tempo e observaram como as coisas estão operando”, acrescentou.
Comunicações de telegrama
A Cyberint disse que observou o grupo usar três canais diferentes do Telegram, com milhares de assinantes entre eles, para suas operações.
Um dos canais é um mercado para bancos de dados vazados. Os bancos de dados parecem pertencer a organizações de diferentes setores, como governo, finanças, manufatura e tecnologia, de todo o mundo. A coleção de bancos de dados à venda pelo canal Telegram sugere que a AIG não está focando em nenhuma região ou setor específico. Em vez disso, o grupo parece ter como alvo organizações que acredita serem valiosas para potenciais compradores.
Alguns dos bancos de dados estão disponíveis por apenas 15 euros e contêm informações como e-mail e endereços físicos, números de telefone e outras informações que possam interessar a distribuidores de spam malicioso, grupos de spear phishing e hacktivistas.
“A AIG afirma que esses bancos de dados são exclusivos, então a suposição é que eles os obtiveram [por meio] de seus contratados”, diz Gihon. Dado o preço baixo, é improvável que a AIG os tenha adquirido de terceiros e os esteja revendendo, diz ele.
A AIG tem um segundo canal Telegram que usa para publicar anúncios de vários serviços de hackers que possa estar procurando e onde os hackers têm a oportunidade de concorrer a contratos. O canal serve como fonte do grupo de ameaças para encontrar desenvolvedores de malware, engenheiros sociais, red teamers e outros mercenários cibernéticos.
O terceiro canal Telegram da AIG, que serve como seu canal de comunicação, é onde o grupo publica anúncios, listas de alvos pretendidos e outras informações. O agente da ameaça também mantém uma loja de comércio eletrônico onde as pessoas podem comprar os serviços da AIG e bancos de dados roubados usando criptomoedas.
Gihon diz que o modelo de negócios da AIG oferece um nível de flexibilidade que outros grupos de ameaças não têm.
“O líder não está vinculado a nenhum dos membros porque todos são contratantes”, diz. “Assim, enquanto outros grupos têm seus altos e baixos devido ao fato de serem o mesmo grupo de pessoas na maior parte do tempo, o Sr. Eagle tem o privilégio de contratar os melhores dos melhores a qualquer momento”, diz ele. “Isso pode tornar este time muito letal no final do jogo.”
FONTE: DARK READING