Grupos podem induzir o caos e a desinformação ou agir por motivações financeiras
Estes grupos hackers de APT se utilizam de diversas estratégias, e a espionagem cibernética feita por eles pode estar ligadas a buscas de informações políticas ou corporativas, e pode chegar até áreas sensíveis de indústrias e órgãos do setor público.
Tais grupos podem também ser patrocinados por um Estado nacional ou ainda atuando nestes lugares com vista grossa destes mesmos estados. Os grupos hackers de APT podem induzir o caos e a desinformação ou agir por motivações financeiras.
Estes grupos atuam de maneira complexa, executando tudo a partir de uma infraestrutura própria de comando e controle, e podem deliberadamente dificultar a atribuição de suas ações, fazendo a chamada operação de “bandeira falsa”.
Esta chamada é uma forma em que se mascara a localização dos ataques realizados e que ainda pode atribuir o ataque a um outro culpado potencial. Com ferramentas de malware próprias, estes grupos hackers de APT têm mais sofisticação e alcance para seus ataques, e são geralmente grupos obscuros e de difícil identificação.
Um deles é o The Shadow Brokers, que está envolvido com o caso WannaCry de 2017, que era uma variante do ransomware Petya, a NotPetya, capaz de prejudicar empresas e infraestruturas pelo mundo.
Este caso envolveu ataques de uma exploração desenvolvida internamente pela NSA, que é a Agência Nacional de Segurança dos Estados Unidos, exploração chamada de EternalBlue, em que se explorou o protocolo Server Message Block da Microsoft, decidindo invadir esta exploração ao invés de informar a Microsoft.
O grupo The Shadow Brokers obteve os arquivos da NSA em 2013, que pode ter sido extraído de um servidor de teste da agência, e que incluía informações sobre todas as formas de exploração que a NSA possuía. Em 2016 foi publicado o primeiro vazamento, que envolveu um esconderijo de armas cibernéticas atribuído ao “Equation Group”, que poderia estar por trás do código Stuxnet e baseados nos Estados Unidos, destruindo centrífugas nucleares iranianas e sugerindo manter contatos com a NSA.
O WannaCry e o Petya foram elaborados nesta exploração EternalBlue, e o grupo The Shadow Brokers ainda afirmou ter acesso a mais armas e exploits, e a localização do grupo ainda é confusa, sendo que Edward Snowden fala de procedência russa.
Falando agora do Grupo Lazarus, que pode estar ligado ao assalto ao Banco Central de Bangladesh em 2016, com um roubo de US$ 81 milhões, este grupo tem uma forma de atuação que compromete inicialmente um único alvo, explorando dentro do site ou violando com um código remotamente acessível.
O usuário pode fazer um download do malware, abrindo a porta para a entrada de outros malwares no sistema atingido. Não se sabe a origem do grupo, mas já se detectou uma conexão de endereço IP raro da Coreia do Norte.
O Equation Group, por sua vez, está relacionado à sombria Unidade de Operações de Acesso Sob Medida da NSA, com seu nome associado ao Stuxnet, com um tipo de atuação única se for comparado a outros grupos hackers, com ferramentas difíceis e caras de desenvolver, camuflando os seus ataques de uma forma bem profissional. Estes ataques que foram um dos mais graves do mundo, então, tiveram origem de uma única exploração da NSA.
Com uma extensa biblioteca de trojans conhecidos e outros desconhecidos, o Equation Group usa métodos tradicionais de espionagem como a entrada em sistemas por CD-ROM interceptado, por exemplo, numa conferência de ciências em Houston, e substituindo este por uma cópia infectada com o worm DoubleFantasy.
O Equation Group tem uma grande infraestrutura de servidores de comando e controle que passa por mais de cem servidores e de trezentos domínios, que tem hosts em países como os Estados Unidos, Alemanha, Holanda, Reino Unido, Panamá, Costa Rica e Colômbia.
Os alvos do Equation Group podem ser instituições diplomáticas e governamentais, áreas de infraestrutura como telecomunicações, aeroespacial, energia, área militar, de petróleo e gás, de pesquisa nuclear, de nanotecnologia, mídia, transportes, dentre outras atividades.
(continua)
Gustavo Bastos, filósofo e escritor.
Blog: http://poesiaeconhecimento.blogspot.com