O terceiro trimestre deste ano mostrou que os hackers de língua chinesa seguem muito ativos, realizando campanhas de ciberespionagem contra diferentes países e industrias de várias verticais. No total, dez dos 24 projetos avançados de pesquisa sobre ataques direcionados realizados pela Kaspersky Lab no período concentraram-se em atividades atribuídas a múltiplos “atores” na região chinesa.
Pesquisas realizadas durante o período de julho-setembro deste ano revelaram um aumento no número de ataques direcionados por hackers de língua chinesa, russa, inglesa e coreana. Criminosos chineses, em particular, foram os mais ativos durante esse período. Sua revitalização afetou não só várias organizações, mas também órgãos governamentais e políticos, bem como acordos regionais – trazendo relações internacionais aos negócios de ataques avançados direcionados.
Os destaques do terceiro trimestre incluem:
• Aumento de ataques de ciberespionagem por pessoas de língua chinesa. Os ataques mais intensos foram Netsarang/ShadowPad e CCleaner, ambos utilizando a prática de incorporar backdoors dentro de pacotes de instalação de software legítimo. O CCleaner sozinho conseguiu infectar 2 milhões de computadores, tornando-se um dos maiores ataques deste ano.
• Crescimento do interesse dos hackers de língua chinesa em ataques a instalações estratégicas e setores econômicos. Pelo menos dois relatórios separados fornecem casos claros em questão:
1. Ataque IronHusky a companhias aéreas russas e mongóis e institutos de pesquisa. Essa campanha foi descoberta em julho, quando os dois países foram alvo de uma variante do Poison Ivy, feita por um hacker de língua chinesa. O ataque estava ligado aos prospectos de defesa aérea da Mongólia, que eram um tema-chave das negociações realizadas com a Rússia no início do ano.
2. Ataque “H2Odecomposition” aos setores de energia da Índia e da Rússia. Ambos os setores de energia dos países foram alvo de um novo malware chamado “H2ODecomposition”. Em alguns casos, esse malware estava disfarçado como uma popular solução antivírus indiana (QuickHeal).
Além disso, os especialistas da Kaspersky Lab emitiram diversos relatórios sobre hackers de língua russa. A maioria dos ataques foi dedicada roubos financeiros e a caixas eletrônicos (ATMs). Entretanto, um relatório examinou a atividade do Sofacy, indicando que o grupo permaneceu ativo.
Em relação aos hackers de língua inglesa, o terceiro trimestre também produziu ainda outro membro do Lamberts: o Red Lambert. Os Lamberts são uma família de ferramentas de ataque sofisticada que têm sido usada por um ou múltiplos atores de ameaças, desde pelo menos 2008. O Red Lambert é uma backdoor de rede, descoberto durante a análise anterior do Gray Lambert, sendo utilizado no lugar de certificados SSL codificados em comunicações de comando e controle.
“O cenário das ameaças direcionadas está evoluindo constantemente, não só pelo fato dos criminosos estarem cada vez mais bem preparados e tecnologicamente sofisticados, mas também em termos de geografia. O aumento dos ataques de origem chinesa demonstra mais uma vez a importância de investir em inteligência contra as ameaças e fornecer para as organizações informações sobre as últimas tendências da área”, disse Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da América Latina na Kaspersky Lab.