G Data documenta ataques a governos

Paulo Brito
20/01/2015

Site do metasploit hackeado

 

Os ataques direcionados a instituições governamentais e empresas globais têm crescido nos últimos anos. O malware é a principal arma escolhidas pelos criminosos cibernéticos e durante sete anos os especialistas da G Data, que é representada no Brasil pela FirstSecurity, acompanham a evolução do desenvolvimento de um dos mais conhecidos programas maliciosos, o Agent.BTZ. Em 2008 o código foi acionado para um ataque contra o Pentágono nos Estados Unidos. No ano passado percebeu-se que o spyware Uroburos atacou os ministérios de negócios internacionais da Bélgica e Finlândia. Em dezembro de 2014 o sucessor do Agent.BTZ, o ComRAT foi descoberto e analisado em detalhes, revelando similaridades técnicas com o rookit do Uroburos.

Em todos os exemplares destes malwares a G Data encontrou similaridades e códigos cumulativos na programação. Mas, como os invasores se aproximaram do conceito de armas de cyber espionagem? Para ilustrar quão complexo um programa de espionagem é desenvolvido, os especialistas da G Data investigaram o Agent.BTZ e o ComRAT mais de perto a partir do estudo de 46 diferentes exemplares durante as 7 últimas décadas.

“Como resultado, agora temos dados sobre estes códigos usados por um grupo de criminosos cybernéticos para atacar os ministérios belgas e finlandeses”, conta Ralf Benzmüller, chefe dos especialistas da G Data.

Poucas mudanças nos códigos maliciosos

Até 2012 os especialistas da G Data detectaram poucas alterações nos códigos maliciosos. Modificações para as versões Windows foram feitas, erros de programação foram eliminados e métodos de disfarces foram adicionados. A maior atualização aconteceu na versão 3.00 do ComRAT. De qualquer maneira, os métodos de ataque não foram completamente clarificados e suspeitou-se que os desenvolvedores foram muito bem treinados e capacitados para cobrir os rastros por traz dos malwares.

Os analistas da G Data estão certos que o grupo por traz do Uroburos, Agent.BTZe ComRAT continuam ativos e em ATP (AdvancedPersistentThreat), que define atividades avançadas de ameaças, em particular a espionagem via Internet. As mais recentes descobertas apontam que novos ataques estão sendo preparados por eles para breve.

Os detalhes da análise dos malwares pode ser vista em: https://blog.gdatasoftware.com/blog/article/evolution-of-sophisticated-spyware-from-agentbtz-to-comrat.html

A análise do ComRAT, suecessoAgent.BTZ:
https://blog.gdatasoftware.com/blog/article/the-uroburos-case-new-sophisticated-rat-identified.html

Detalhes da análise do sequestro de objetos COM são analisados em :
https://blog.gdatasoftware.com/blog/article/com-object-hijacking-the-discreet-way-of-persistence.html

A análise do Uroburospodem ser concotrados aqui: (
https://blog.gdatasoftware.com/blog/article/uroburos-highly-complex-espionage-software-with-russian-roots.html), acompanhados de detalhes tecnicos das funcionalidades do malware: https://blog.gdatasoftware.com/blog/article/uroburos-deeper-travel-into-kernel-protection-mitigation.html

Compartilhar:

Últimas Notícias