Empresas europeias dos setores militar e aeroespacial foram alvo de uma campanha complexa de roubo de informações que teria sido orquestrada por hackers ligados ao governo da Coreia do Norte. A operação de espionagem aconteceu entre os meses de setembro e dezembro do ano passado e teve o LinkedIn como um de seus principais vetores de infecção e acesso a redes internas.
A descoberta foi revelada nesta semana pela ESET e batizada de Operation In(ter)ception, ou Operação Interceptação. De acordo com o diretor de pesquisas em segurança da empresa, Jean-Ian Boutin, todo o processo começava com uma mensagem relativamente simples, mas bastante perigosa, envolvendo novas e polpudas ofertas de emprego para funcionários já atuantes nos setores, enviando arquivos para preenchimento que, na realidade, continham os malwares utilizados na operação de espionagem.
A pesquisa não revelou as empresas atingidas, mas indicou que os criminosos tentavam se passar por recrutadores de dois nomes reconhecidos do segmento militar: a Collins Aerospace e a General Dynamics, ambas portadoras de contratos governamentais e com forte atuação na iniciativa privada. Em todos os casos, pressões relacionadas a respostas rápidas e envio de informações para avaliação das propostas de emprego eram exercidas sobre os alvos, de forma que eles pensassem pouco antes de atenderem às solicitações.
“Esse é um comportamento padrão dos hackers, mas os indícios de se tratar de uma campanha maliciosa já aparecem nas mensagens iniciais”, explica Boutin, indicando a presença de erros de grafia no texto. Caso os supostos candidatos mordessem a isca, também receberiam indicações detalhadas sobre como lidar com os arquivos ou em quais aplicativos deveriam executá-los, o que também serve como indício de que o golpe se apoia em vulnerabilidades específicas.
O nome da campanha foi dado a partir do malware utilizado para a intrusão, que vem disfarçado como o arquivo Inception.dll. Ele se instala a partir de arquivos PDF que, na superfície, contêm listas de salários de acordo com cargo e indicações de vagas disponíveis nas empresas, mas escondia uma sequência de etapas de infecção para roubo de dados como contratos confidenciais e informações técnicas dos produtos das companhias que serviam de alvo.
Quando o contato não era possível por meio do LinkedIn, os hackers criavam contas de e-mail em domínios semelhantes aos das empresas supostamente interessadas nos candidatos, enviando mensagens em nome de executivos e membros reais dos setores de recursos humanos e diretoria destas companhias. As identidades eram as mesmas usadas nos perfis da rede social, enquanto os arquivos eram hospedados em contas básicas do OneDrive, o serviço de armazenamento em nuvem da Microsoft.
A insistência e o direcionamento na escolha de alvos são os principais indícios que apontam para uma operação a serviço governamental. Boutin explica que, por mais que não seja possível afirmar isso com certeza, o funcionamento da exploração traz similaridades com outras campanhas realizadas pelo Lazarus Group, uma quadrilha de hackers que esteve envolvida em outros casos ligados ao governo da Coreia do Norte, como o vazamento de e-mails da Sony Pictures, em 2014, ou um recente golpe no valor de US$ 80 milhões, praticado contra um banco de Bangladesh.
Existem similaridades em códigos, informações de programação, nomes de usuário e até variações de malware que ligam a campanha contra empresas militares europeias a tais casos. Apesar disso, evidências claras não puderam ser encontradas e, da mesma maneira, os criminosos conseguiram tornar sua atuação difusa o suficiente para que não seja possível nem mesmo descobrir quais eram os arquivos mais visados por eles.
O especialista, entretanto, aponta para uma segunda etapa da campanha, que visava monetizar o acesso obtido às redes internas das empresas que foram alvo. Como forma de financiar as próprias operações, ou possíveis regimes para os quais trabalham, os hackers criaram contas de e-mail falsas e geraram documentos para pagamento, que eram enviados a clientes das empresas que serviam de alvo. Essa fase, entretanto, não foi bem-sucedida, já que a suspeita levou a um contato entre as partes e à descoberta da fraude.
A campanha é complexa, mas, segundo Doutin, carrega similaridades com outros casos conhecidos de fraude empresarial, o que facilita o combate. “É preciso informar os colaboradores sobre isso e garantir que eles conheçam os executivos com quem se comunicam”, afirma. Ele também dá outras dicas que envolvem o monitoramento da rede, em busca de acesso não-identificado ou autorizado, e o uso de soluções de segurança que bloqueiem a execução de arquivos maliciosos.
Ainda, o especialista indica que, quando possível, o ideal é bloquear o acesso a serviços de hospedagem na nuvem, já que essas plataformas costumam ser usadas para disseminação de malwares. Além disso, como sempre, é importante ter sistemas sempre atualizados, de forma que brechas conhecidas não possam ser exploradas de maneira maliciosa.
ATUALIZAÇÃO 17/06/2020 14h25: Em contato com o Canaltech, o LinkedIn afirmou manter um controle frequente de contas falsas ou que estejam aplicando fraudes contra os usuários da plataforma. De acordo com a empresa, sinais de atividades apoiadas por órgãos governamentais, equipes de revisores e tecnologias automatizadas de inteligência e análise ajudam a manter esse controle, com a suspensão permanente dos perfis.
Por Felipe Demartini | canaltech.com.br
