0
0
LABSCON – Scottsdale, Arizona – Um novo agente de ameaças que infectou uma empresa de telecomunicações no Oriente Médio e vários provedores de serviços de Internet e universidades no Oriente Médio e na África é responsável por duas plataformas de malware “extremamente complexas” — mas muito sobre o grupo que permanece envolto em mistério, de acordo com uma nova pesquisa revelada aqui hoje.
Pesquisadores do SentintelLabs, que compartilharam suas descobertas na primeira conferência de segurança LabsCon, nomearam o grupo Metador, com base na frase “Eu sou meta” que aparece no código malicioso e no fato de que as mensagens do servidor são tipicamente em espanhol. Acredita-se que o grupo esteja ativo desde dezembro de 2020, mas voou com sucesso sob o radar nos últimos anos. Juan Andrés Guerrero-Saade, diretor sênior do SentinelLabs, disse que a equipe compartilhou informações sobre o Metador com pesquisadores de outras empresas de segurança e parceiros do governo, mas ninguém sabia nada sobre o grupo.
Os pesquisadores da Guerrero-Saade e SentinelLabs, Amitai Ben Shushan Ehrlich e Aleksandar Milenkoski, publicaram uma postagem no blog e detalhes técnicos sobre as duas plataformas de malware, metaMain e Mafalda, na esperança de encontrar mais vítimas infectadas. “Sabíamos onde eles estavam, não onde estão agora”, disse Guerrero-Saade.
O MetaMain é um backdoor que pode registrar a atividade do mouse e do teclado, capturar capturas de tela e exfiltrar dados e arquivos. Ele também pode ser usado para instalar o Mafalda, uma estrutura altamente modular que fornece aos invasores a capacidade de coletar informações do sistema e da rede e outros recursos adicionais. Tanto o metaMain quanto o Mafalda operam inteiramente na memória e não se instalam no disco rígido do sistema.
Quadrinho político
Acredita-se que o nome do malware tenha sido inspirado em Mafalda, um popular desenho animado em espanhol da Argentina que comenta regularmente sobre temas políticos.
O Metador configurou endereços IP exclusivos para cada vítima, garantindo que, mesmo que um comando e controle seja descoberto, o restante da infraestrutura permaneça operacional. Isso também torna extremamente difícil encontrar outras vítimas. Muitas vezes, quando os pesquisadores descobrem a infraestrutura do ataque, encontram informações pertencentes a várias vítimas – o que ajuda a mapear a extensão das atividades do grupo. Como a Metador mantém suas campanhas-alvo separadas, os pesquisadores têm apenas uma visão limitada das operações da Metador e de que tipo de vítimas o grupo visa.
What the group doesn’t seem to mind, however, is mixing with other attack groups. The Middle Eastern telecommunications company that was one of Metador’s victims was already compromised by at least 10 other nation-state attack groups, the researchers found. Many of the other groups appeared to be affiliated with China and Iran.
Vários grupos de ameaças direcionados ao mesmo sistema às vezes são chamados de “ímãs de ameaças”, pois atraem e hospedam vários grupos e plataformas de malware simultaneamente. Muitos atores do estado-nação dedicam tempo para remover vestígios de infecção por outros grupos, chegando até a corrigir as falhas que os outros grupos usaram, antes de realizar suas próprias atividades de ataque. O fato de o Metador infectar malware em um sistema já comprometido (repetidamente) por outros grupos sugere que o grupo não se importa com o que os outros grupos fariam, disseram os pesquisadores do SentinelLabs.
É possível que a empresa de telecomunicações fosse um alvo de alto valor que o grupo estivesse disposto a correr o risco de detecção, pois a presença de vários grupos no mesmo sistema aumenta a probabilidade de a vítima perceber algo errado.
Ataque de tubarão
Embora o grupo pareça ter muitos recursos – como evidenciado pela complexidade técnica do malware, a segurança operacional avançada do grupo para evitar a detecção e o fato de estar em desenvolvimento ativo – Guerrero-Saade alertou que não era suficiente para determinar que houve envolvimento do Estado-nação. É possível que o Metador seja o produto de um empreiteiro trabalhando em nome de um estado-nação, pois há sinais de que o grupo era altamente profissional, disse Geurrero-Saade. E os membros podem ter experiência anterior em realizar esses tipos de ataques nesse nível, observou ele.
“Consideramos a descoberta de Metador semelhante a uma barbatana de tubarão rompendo a superfície da água”, escreveram os pesquisadores, observando que não têm ideia do que está acontecendo por baixo. “É uma causa de mau presságio que substancia a necessidade do setor de segurança de projetar proativamente para detectar a verdadeira camada superior de agentes de ameaças que atualmente atravessam as redes com impunidade”.
FONTE: DARK READING