Um grupo de espiões de elite usou 5 dias zero para invadir norte-coreanos

Um grupo de espiões de elite usou 5 dias zero para invadir norte-coreanos

26 de Março, 2020 0 Por António César de Andrade
Click to rate this post!
[Total: 0 Average: 0]


A maioria dos norte-coreanos não passam grande parte da vida na frente de um computador. Parece que alguns dos poucos sortudos que foram atingidos por um arsenal notável de técnicas de hackers no último ano – uma sofisticada espionagem que alguns pesquisadores suspeitam que a Coréia do Sul possa ter realizado.

Pesquisadores de segurança cibernética do Threat Analysis Group do Google revelaram hoje que um grupo não identificado de hackers usava nada menos que cinco vulnerabilidades de dia zero, falhas secretas de hackers em software, para atingir profissionais focados nos norte-coreanos e na Coréia do Norte em 2019. As operações de hackers exploraram falhas em Internet Explorer, Chrome e Windows com e-mails de phishing que carregavam anexos ou links maliciosos a sites maliciosos, bem como os chamados ataques de watering hole que plantaram malware nas máquinas das vítimas quando eles visitaram determinados sites que foram invadidos por hackers para infectar visitantes através de seus sites. navegadores.

O Google se recusou a comentar quem poderia ser o responsável pelos ataques, mas a empresa de segurança russa Kaspersky disse à WIRED que vinculou as descobertas do Google ao DarkHotel, um grupo que atacou norte-coreanos no passado e é suspeito de trabalhar em nome do governo sul-coreano. .

“É realmente impressionante. Mostra um nível de polimento operacional”.

Dave Aitel, Infiltrado

Os sul-coreanos espionando um adversário do norte que freqüentemente ameaça lançar mísseis através da fronteira não são inesperados. Mas a capacidade do país de usar cinco dias zero em uma única campanha de espionagem dentro de um ano representa um nível surpreendente de sofisticação e recursos. “É raro encontrar tantas explorações de dia zero do mesmo ator em um período de tempo relativamente curto”, escreve Toni Gidwani, pesquisador do Google TAG no blog da empresa. “A maioria dos alvos que observamos eram da Coréia do Norte ou indivíduos que trabalhavam em questões relacionadas à Coréia do Norte”. Em um e-mail de acompanhamento, o Google esclareceu que um subconjunto das vítimas não era apenas da Coréia do Norte, mas do país, sugerindo que esses alvos não eram desertores norte-coreanos, a quem o regime norte-coreano freqüentemente alveja.

Poucas horas após o Google vincular as vulnerabilidades de dia zero aos ataques direcionados aos norte-coreanos, a Kaspersky conseguiu combinar duas das vulnerabilidades – uma no Windows e outra no Internet Explorer – com as que estavam especificamente associadas ao DarkHotel. A empresa de segurança já havia visto esses bugs explorados para plantar malware conhecido do DarkHotel nos computadores de seus clientes. (Esses ataques vinculados ao DarkHotel ocorreram antes da Microsoft corrigir suas falhas, diz Raiu, sugerindo que o DarkHotel não estava apenas reutilizando as vulnerabilidades de outro grupo.) Como o Google atribuiu todos os cinco dias zero a um único grupo de hackers, “é bem provável que todos eles estão relacionados ao DarkHotel “, diz Raiu.

Raiu ressalta que o DarkHotel tem uma longa história de invasão de vítimas norte-coreanas e chinesas, com foco na espionagem. “Eles estão interessados ​​em obter informações como documentos, e-mails, praticamente qualquer dado que puderem desses alvos”, diz ele. Raiu se recusou a especular sobre o governo do país por trás do grupo. Mas o DarkHotel é amplamente suspeito de trabalhar em nome do governo sul-coreano, e o Conselho de Relações Exteriores nomeia o suposto patrocinador estatal do DarkHotel como República da Coréia.

Acredita-se que os hackers do DarkHotel estejam ativos desde pelo menos 2007, mas a Kaspersky deu nome ao grupo em 2014 quando descobriu que o grupo estava comprometendo as redes Wi-Fi de hotéis para realizar ataques altamente direcionados a hóspedes específicos do hotel com base no número de quartos . Nos últimos três anos, Raiu diz que a Kaspersky encontrou o DarkHotel usando três vulnerabilidades de dia zero além das cinco agora vinculadas ao grupo, com base na postagem do blog do Google. “Eles provavelmente são um dos atores que são os mais engenhosos do mundo quando se trata de implantar zero dias”, diz Raiu. “Eles parecem estar fazendo tudo isso internamente, sem usar código de outras fontes. Isso diz muito sobre suas habilidades técnicas. Eles são muito bons”.



Fonte