Empresas europeias dos setores militar e aeroespacial foram alvo de uma campanha complexa de roubo de informações que teria sido orquestrada por hackers ligados ao governo da Coreia do Norte. A operação de espionagem aconteceu entre os meses de setembro e dezembro do ano passado e teve o LinkedIn como um de seus principais vetores de infecção e acesso a redes internas.
A descoberta foi revelada nesta semana pela ESET e batizada de Operation In(ter)ception, ou Operação Interceptação. De acordo com o diretor de pesquisas em segurança da empresa, Jean-Ian Boutin, todo o processo começava com uma mensagem relativamente simples, mas bastante perigosa, envolvendo novas e polpudas ofertas de emprego para funcionários já atuantes nos setores, enviando arquivos para preenchimento que, na realidade, continham os malwares utilizados na operação de espionagem.
A pesquisa não revelou as empresas atingidas, mas indicou que os criminosos tentavam se passar por recrutadores de dois nomes reconhecidos do segmento militar: a Collins Aerospace e a General Dynamics, ambas portadoras de contratos governamentais e com forte atuação na iniciativa privada. Em todos os casos, pressões relacionadas a respostas rápidas e envio de informações para avaliação das propostas de emprego eram exercidas sobre os alvos, de forma que eles pensassem pouco antes de atenderem às solicitações.
“Esse é um comportamento padrão dos hackers, mas os indícios de se tratar de uma campanha maliciosa já aparecem nas mensagens iniciais”, explica Boutin, indicando a presença de erros de grafia no texto. Caso os supostos candidatos mordessem a isca, também receberiam indicações detalhadas sobre como lidar com os arquivos ou em quais aplicativos deveriam executá-los, o que também serve como indício de que o golpe se apoia em vulnerabilidades específicas.
O nome da campanha foi dado a partir do malware utilizado para a intrusão, que vem disfarçado como o arquivo Inception.dll. Ele se instala a partir de arquivos PDF que, na superfície, contêm listas de salários de acordo com cargo e indicações de vagas disponíveis nas empresas, mas escondia uma sequência de etapas de infecção para roubo de dados como contratos confidenciais e informações técnicas dos produtos das companhias que serviam de alvo.
Quando o contato não era possível por meio do LinkedIn, os hackers criavam contas de e-mail em domínios semelhantes aos das empresas supostamente interessadas nos candidatos, enviando mensagens em nome de executivos e membros reais dos setores de recursos humanos e diretoria destas companhias. As identidades eram as mesmas usadas nos perfis da rede social, enquanto os arquivos eram hospedados em contas básicas do OneDrive, o serviço de armazenamento em nuvem da Microsoft.
A insistência e o direcionamento na escolha de alvos são os principais indícios que apontam para uma operação a serviço governamental. Boutin explica que, por mais que não seja possível afirmar isso com certeza, o funcionamento da exploração traz similaridades com outras campanhas realizadas pelo Lazarus Group, uma quadrilha de hackers que esteve envolvida em outros casos ligados ao governo da Coreia do Norte, como o vazamento de e-mails da Sony Pictures, em 2014, ou um recente golpe no valor de US$ 80 milhões, praticado contra um banco de Bangladesh.
Existem similaridades em códigos, informações de programação, nomes de usuário e até variações de malware que ligam a campanha contra empresas militares europeias a tais casos. Apesar disso, evidências claras não puderam ser encontradas e, da mesma maneira, os criminosos conseguiram tornar sua atuação difusa o suficiente para que não seja possível nem mesmo descobrir quais eram os arquivos mais visados por eles.
O especialista, entretanto, aponta para uma segunda etapa da campanha, que visava monetizar o acesso obtido às redes internas das empresas que foram alvo. Como forma de financiar as próprias operações, ou possíveis regimes para os quais trabalham, os hackers criaram contas de e-mail falsas e geraram documentos para pagamento, que eram enviados a clientes das empresas que serviam de alvo. Essa fase, entretanto, não foi bem-sucedida, já que a suspeita levou a um contato entre as partes e à descoberta da fraude.
A campanha é complexa, mas, segundo Doutin, carrega similaridades com outros casos conhecidos de fraude empresarial, o que facilita o combate. “É preciso informar os colaboradores sobre isso e garantir que eles conheçam os executivos com quem se comunicam”, afirma. Ele também dá outras dicas que envolvem o monitoramento da rede, em busca de acesso não-identificado ou autorizado, e o uso de soluções de segurança que bloqueiem a execução de arquivos maliciosos.
Ainda, o especialista indica que, quando possível, o ideal é bloquear o acesso a serviços de hospedagem na nuvem, já que essas plataformas costumam ser usadas para disseminação de malwares. Além disso, como sempre, é importante ter sistemas sempre atualizados, de forma que brechas conhecidas não possam ser exploradas de maneira maliciosa.
ATUALIZAÇÃO 17/06/2020 14h25: Em contato com o Canaltech, o LinkedIn afirmou manter um controle frequente de contas falsas ou que estejam aplicando fraudes contra os usuários da plataforma. De acordo com a empresa, sinais de atividades apoiadas por órgãos governamentais, equipes de revisores e tecnologias automatizadas de inteligência e análise ajudam a manter esse controle, com a suspensão permanente dos perfis.
Por Felipe Demartini | canaltech.com.br
Cookie | Duração | Descrição |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |