Em 22 de fevereiro, a Symantec revelou evidências de um agente de ameaça anteriormente não documentado que está chamando de “Clasiopa”. A Clasiopa foi observada implantando um backdoor de malware exclusivo chamado “Atharvan” em sua campanha contra um fabricante de materiais com sede na Ásia.
“Pelo que podemos ver, a principal motivação do ataque foi espionagem ou roubo de informações”, disse Dick O’Brien, principal analista de inteligência da Symantec Threat Hunter Team, ao Dark Reading. A Symantec se recusou a entrar em detalhes sobre a natureza da vítima, os arquivos ou se os invasores foram bem-sucedidos.
Táticas furtivas de Clasiopa
O vetor de intrusão inicial de Clasiopa não é certo, “embora”, observaram os pesquisadores, “existam algumas evidências que sugerem que os invasores obtêm acesso por meio de ataques de força bruta em servidores públicos”.
O relatório destaca algumas características do ataque, incluindo a verificação do endereço IP dos computadores de destino, o uso de “múltiplos backdoors para criar listas de nomes de arquivos e exfiltrá-los”, limpar vários logs de eventos no sistema de destino e executar uma tarefa vagamente nomeada – “serviço de rede” — para listar os nomes dos arquivos.
Dois programas comerciais também entraram no turbilhão: o sistema Agile File Distribution Management, dos desenvolvedores Jiangsu Agile Technology na China, e o Domino, do software HCL (embora o último possa ter sido incluído por coincidência).
Juntos, esses métodos – backdoors, logs apagados, software comercial – começam a contar uma história. “Eles são certamente uma tentativa de táticas furtivas”, diz O’Brien. “Esses tipos de tática não são únicos e muitos agentes de ameaças semelhantes farão algo semelhante, com níveis variados de sucesso, dependendo de suas habilidades e recursos”.
“Neste caso”, acrescenta ele, “eles ainda deixaram evidências suficientes para reunir muito do que haviam feito”.
Dito isso, algumas das evidências que o grupo deixou para trás podem ter sido intencionais, destinadas a apontar os pesquisadores em uma direção de atribuição específica.
Quem é Clasiopa?
As pistas para aprender sobre o Clasiopa podem estar em seu malware exclusivo, Atharvan – “um backdoor clássico”, como diz O’Brien. “Ele permite que os invasores mantenham um canal de comunicação aberto com o computador infectado, instalem ferramentas adicionais e enviem informações aos invasores”.
Função à parte, seu nome pode ser sua característica mais notável. O nome deriva de “SAPTARISHI ATHARVAN-101”, um objeto de exclusão mútua (“mutex”) que o malware cria após infectar uma máquina de destino, para garantir que várias cópias de si mesmo não sejam executadas ao mesmo tempo. “Saptarishi”, na antiga astronomia indiana, é a palavra para o arranjo das estrelas na Ursa Maior. Atharvan é o nome de um mítico sábio hindu.
E havia outra migalha de pão indicando origem indiana. Uma das senhas que Clasiopa usou para um arquivo zip foi iloveindea1998^_^.
No entanto, essas pistas são tão óbvias que convidam a suspeitas. “Embora esses detalhes possam sugerir que o grupo está baseado na Índia”, levantaram a hipótese dos pesquisadores, “também é bastante provável que a informação tenha sido plantada como bandeiras falsas , com a senha em particular parecendo ser uma pista excessivamente óbvia”.
Muitos outros detalhes sobre o grupo permanecem não revelados ou desconhecidos. Isso pode ser em parte devido às táticas furtivas utilizadas na campanha, algumas sutis e outras evidentes. Por enquanto, os analistas de ameaças devem ficar atentos: para saber mais sobre o Clasiopa, talvez seja necessário esperar até que ele ataque novamente.
FONTE: DARK READING