Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

G Data documenta ataques a governos

Share on linkedin
Share on twitter
Share on facebook

Site do metasploit hackeado

 

Os ataques direcionados a instituições governamentais e empresas globais têm crescido nos últimos anos. O malware é a principal arma escolhidas pelos criminosos cibernéticos e durante sete anos os especialistas da G Data, que é representada no Brasil pela FirstSecurity, acompanham a evolução do desenvolvimento de um dos mais conhecidos programas maliciosos, o Agent.BTZ. Em 2008 o código foi acionado para um ataque contra o Pentágono nos Estados Unidos. No ano passado percebeu-se que o spyware Uroburos atacou os ministérios de negócios internacionais da Bélgica e Finlândia. Em dezembro de 2014 o sucessor do Agent.BTZ, o ComRAT foi descoberto e analisado em detalhes, revelando similaridades técnicas com o rookit do Uroburos.

Em todos os exemplares destes malwares a G Data encontrou similaridades e códigos cumulativos na programação. Mas, como os invasores se aproximaram do conceito de armas de cyber espionagem? Para ilustrar quão complexo um programa de espionagem é desenvolvido, os especialistas da G Data investigaram o Agent.BTZ e o ComRAT mais de perto a partir do estudo de 46 diferentes exemplares durante as 7 últimas décadas.

“Como resultado, agora temos dados sobre estes códigos usados por um grupo de criminosos cybernéticos para atacar os ministérios belgas e finlandeses”, conta Ralf Benzmüller, chefe dos especialistas da G Data.

Poucas mudanças nos códigos maliciosos

Até 2012 os especialistas da G Data detectaram poucas alterações nos códigos maliciosos. Modificações para as versões Windows foram feitas, erros de programação foram eliminados e métodos de disfarces foram adicionados. A maior atualização aconteceu na versão 3.00 do ComRAT. De qualquer maneira, os métodos de ataque não foram completamente clarificados e suspeitou-se que os desenvolvedores foram muito bem treinados e capacitados para cobrir os rastros por traz dos malwares.

Os analistas da G Data estão certos que o grupo por traz do Uroburos, Agent.BTZe ComRAT continuam ativos e em ATP (AdvancedPersistentThreat), que define atividades avançadas de ameaças, em particular a espionagem via Internet. As mais recentes descobertas apontam que novos ataques estão sendo preparados por eles para breve.

Os detalhes da análise dos malwares pode ser vista em: https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html

A análise do ComRAT, suecessoAgent.BTZ:
https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html

Detalhes da análise do sequestro de objetos COM são analisados em :
https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html

A análise do Uroburospodem ser concotrados aqui: (
https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html), acompanhados de detalhes tecnicos das funcionalidades do malware: https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html