Portugal já foi afetado pela APT Cloud Atlas

A Cloud Atlas é uma APT com uma ampla trajetória em operações de ciberespionagem contra o setor industrial, entidades estatais e outros organismos. Foi identificada pela primeira vez em 2014 e, desde então, nunca deixou de estar ativa.

Os setores internacional aerospacial e da economia, assim como entidades religiosas e da administração pública de diversos países, têm-se constituído os principais alvos da Cloud Atlas, principalmente em Portugal, România, Turquia, Ucrânia, Rússia, Turquemenistão, Afeganistão e Quirguistão.

Devido às suas capacidades de infiltração bem-sucedidas, a Cloud Atlas recolhe informações sobre o sistema que se está a utilizar, assim como credenciais de acesso e arquivos .txt, .pdf e .xls para um servidor de comando e controlo.

Apesar da Cloud Atlas não ter alterado as suas táticas de forma radical, as investigações efetuadas desde 2018 revelam que esta ameaça já começou a implementar novas formas para infetar as suas vítimas e a realizar movimentos laterais através da rede.

Anteriormente, a Cloud Atlas começava por enviar um email de spear phishing com o arquivo em anexo, que continha conteúdo malicioso. Se a infiltração fosse bem-sucedida, o PowerShower – o malware incorporado no arquivo em anexo, utilizado para o reconhecimento inicial e para o download posterior de outros módulos maliciosos adicionais – era executado de forma a que os hackers pudessem proceder com uma operação.

Agora, a nova cadeia de infeção atrasa a execução do PowerShower para uma etapa posterior. Em vez disso, após a infeção inicial pelo email, uma aplicação maliciosa de HTML é descarregada e executa o plano com o mesmo objetivo. De seguida, esta aplicação recolhe informação inicial sobre o computador atacado e só depois é que descarrega e executa o VBShower, outro módulo malicioso.

O VBShower dá continuação à ameaça, eliminando as provas da presença de malware no sistema, e consulta os seus “mestres” através dos servidores de comando e controlo para decidir ações futuras. Em função do comando recebido, o malware é descarregado e executa posteriormente o PowerShower ou outra “porta traseira” conhecida de segunda etapa da Cloud Atlas.

“Na comunidade de cibersegurança, tem-se vindo a adotar como uma boa prática a partilha dos Indicadores de Compromisso (IoC) das operações maliciosas que identificamos nas nossas investigações. Esta prática permite-nos responder com rapidez às operações internacionais de ciberespionagem que estão atualmente em marcha e evitar que estas gerem danos maiores. Contudo, tal como previmos em 2016, os IoC tornaram-se obsoletos enquanto ferramenta fiável para detetar um ataque dirigido à rede. O primeiro caso começou com o ProjectSauron, que criava um conjunto de IoC único para cada uma das vítimas e que continuou a seguir a tendência de utilizar ferramentas de fonte aberta em operações de ciberespionagem, em vez de ferramentas à medida. Isto continua a verificar-se, tendo agora como exemplo recente o do malware polimorfo. Porém, não significa que seja mais difícil capturar os hackers, mas que as capacidades de cibersegurança e o kit de ferramentas dos defensores têm que evoluir em paralelo com o kit de ferramentas e com as capacidades dos hackers que perseguem”, afirma Felix Aime, Investigador de Segurança da Equipa de Análise e Investigação Global (GReAT) da Kaspersky.