2019-9-20
O grupo de cibercriminosos Tortoiseshell está a atacar o Canal de distribuição de IT com o objetivo de roubar o maior número de dados possível e chegar às redes dos seus clientes. Os hackers utilizam malware típico e não técnicas de phishing
|
O grupo de hackers Tortoiseshell ataca os fornecedores de IT com malware, o que se pensa ser uma primeira fase de um ataque extensível ao Canal de distribuição, com o objetivo final de comprometer as organizações dos clientes, reporta a publicação ZDNet. Os cibercriminosos usam uma combinação de malware típico e malware “off the shelf” mas não há, para já, suspeita de ligação a espionagem ou “patrocínio” governamental. O Tortoiseshell está ativo há mais de um ano e os investigadores da empresa Symantec creem que o grupo atacou 11 organizações de IT, a maioria baseada na Arábia Saudita. A empresa de segurança refere ainda que os atacantes obtiveram acesso ao nível de administrador em pelo menos duas organizações. Já em julho de 2019, a atividade do grupo foi registada como Backdoor .Syskit. Este malware é criado nas linguagens de programação Delphi e .NET e abre um backdoor inicial para computadores comprometidos, permitindo que os atacantes recolham informações como o endereço IP, o sistema operativo e o nome do computador. O Syskit também pode fazer download e executar ferramentas e comandos adicionais. Os investigadores sugerem que o malware pode ser distribuído por um servidor web comprometido. Acredita-se que o grupo ainda esteja ativo e as empresas afetadas estão a trabalhar com a Symantec para proteger as suas redes. "Comprometer um servidor web, com uma provável exploração antiga, pode ser uma abordagem mais simples do que utilizar um email. A alternativa de utilizar um email de phishing para comprometer a vítima geralmente exige que o invasor tivesse pelo menos algum conhecimento sobre o destinatário do email para personalizar o email para esse indivíduo", explicou Gavin O'Gorman, investigador da equipa de resposta de segurança da Symantec, à ZDNet. Com a campanha focada nas empresas de IT, os investigadores acreditam que estes ataques são a primeira fase de um ataque ao Canal e os hackers procuram comprometer os fornecedores como um degrau para as redes dos seus clientes. Os cibercriminosos envolvidos em ataques ao Canal de distribuição utilizam vários métodos para comprometer o seu objetivo final, incluindo a distribuição de atualizações de software que contêm código malicioso. O alto nível de acesso que as empresas de IT têm às redes de clientes que as torna num alvo atraente para os hackers. |
