Uma campanha de espionagem cibernética tem como alvo operadoras de telecomunicações em todo o mundo usa downloads maliciosos para tentar roubar dados confidenciais das vítimas, incluindo informações sobre a tecnologia 5G.
Descoberta por pesquisadores de segurança cibernética da McAfee, a campanha tem como alvo companhias de telecomunicações do sudeste da Ásia, Europa e Estados Unidos. Batizada de Operação Diànxùn, os pesquisadores dizem que os ataques são obra de um grupo de hackers da China. O grupo, conhecido como Mustang Panda e RedDelta, tem histórico de campanhas de hackers e espionagem direcionadas a organizações em todo o mundo, e agora parece estar focado em comprometer provedores de telecomunicações.
Suspeita-se que pelo menos 23 operadoras de telecomunicações tenham sido atingidas pela campanha, que está ativa desde pelo menos agosto do ano passado. Não foi divulgado quantos dos alvos foram comprometidos com sucesso pelos hackers.
Embora o meio inicial de infecção ainda não tenha sido identificado, sabe-se que as vítimas são direcionadas a um domínio de phishing malicioso, sob o controle dos hackers, que é usado para entregar malware às vítimas.
De acordo com os pesquisadores, a página da web maliciosa se mascara como um site de carreiras da Huawei, projetado para parecer indistinguível do site real. Os pesquisadores enfatizaram que a fabricante chinesa não está envolvida na campanha de espionagem cibernética.
Quando os usuários visitam o site falso, ele fornece um aplicativo flash malicioso que é usado para colocar a backdoor do Cobalt Strike na máquina da vítima, fornecendo aos invasores visibilidade e capacidade de coletar e roubar informações confidenciais.
Veja isso
Introdução da 5G irá expandir superfície de ataques, diz especialista
5G Americas alerta para desafios de segurança que 5G trará
Os ataques parecem ter como alvo empresas que têm conhecimento de 5G e roubar informações confidenciais ou secretas em relação à tecnologia.
Os pesquisadores vincularam a Operação Diànxùn a hackings anteriores por grupos chineses devido aos ataques e ao malware implantado, que usam táticas, técnicas e procedimentos semelhantes a campanhas anteriores atribuídas ao grupo.
A análise dos ataques sugere que a campanha ainda tenta ativamente comprometer alvos no setor de telecomunicações. “Acreditamos que a campanha ainda está em andamento. Detectamos novas atividades na semana passada com as mesmas táticas, técnicas e procedimentos, o que significa que a campanha ainda está em execução”, disse Thomas Roccia, pesquisador de segurança da equipe de inteligência estratégica de pesquisa avançada de ameaças da McAfee, à ZDNet.
Com os domínios maliciosos desempenhando um papel tão significativo nesta campanha, uma maneira de ajudar a se proteger contra ataques poderia ser treinar a equipe para ser capaz de reconhecer se eles foram direcionados a um site falso ou malicioso — embora como os invasores cibernéticos se tornaram muito bons em construir sites falsos altamente precisos, isso pode ser complicado.