Mais um antivirus foi vítima de hackers. Eles aproveitaram uma falha zero-day do Trend Micro OfficeScan para implantar arquivos maliciosos contra servidores da Mitsubishi Electric. Segundo os primeiros relatos, os responsáveis são hackers chineses.
A Trend Micro já corrigiu a vulnerabilidade, porém, a empresa não comentou se o zero-day foi usado em outros ataques além da Mitsubishi Electric. As notícias da invasão da Mitsubishi Electric tornaram-se públicas nesta semana. Em um comunicado à imprensa publicado em seu site, a empresa disse que a invasão ocorreu no ano passado.
Falha zero-day no Trend Micro antivirus foi detectada no ano passado e usada contra Mitsubishi Electric
A empresa disse que detectou uma invasão em sua rede em 28 de junho de 2019. Após uma investigação de meses, a Mitsubishi disse ter descoberto que os hackers obtiveram acesso à sua rede interna de onde roubaram cerca de 200 MB de arquivos.
Embora inicialmente a empresa não tenha revelado o conteúdo desses documentos, em um comunicado à imprensa atualizado, a empresa afirmou que os arquivos continham principalmente informações sobre os funcionários, e não dados relacionados a seus negócios e parceiros.
Segundo a Mitsubishi, os documentos roubados continham:
- Dados sobre pedidos de emprego para 1.987 pessoas;
- Os resultados de uma pesquisa de 2012 realizada com 4.566 pessoas de sua sede Informações sobre 1.569 trabalhadores da Mitsubishi Electric que se aposentaram entre 2007 e 2019;
- Arquivos com materiais técnicos confidenciais corporativos, materiais de vendas e outros.
Confirmação de problemas no antivirus
Segundo relatos, o hack teve origem em uma filial da Mitsubishi Electric Chinese e depois se espalhou para 14 departamentos e redes da empresa.
A invasão teria sido detectada depois que a equipe da Mitsubishi Electric encontrou um arquivo suspeito em um dos servidores da empresa.
Nada disso foi confirmado pela empresa japonesa. O único detalhe técnico em relação ao hack da Mitsubishi Electric divulgado foi o fato de os hackers explorarem uma vulnerabilidade em um dos produtos antivírus que a empresa estava usando.
Os hackers exploraram o CVE-2019-18187, uma vulnerabilidade de transferência de arquivo no antivírus Trend Micro OfficeScan.
De acordo com um comunicado de segurança da Trend Micro enviado em outubro de 2019,
as versões afetadas do OfficeScan podem ser exploradas por um invasor que utiliza uma vulnerabilidade de diretório para extrair dados de um arquivo zip para uma pasta específica no servidor OfficeScan, o que pode potencialmente levar para execução remota de código (RCE).
Em um estudo de caso em seu site, a Trend Micro lista a Mitsubishi Electric como uma das empresas que administram o pacote OfficeScan.
Quando corrigiu o CVE-2019-18187 em outubro, a Trend Micro alertou os clientes que a vulnerabilidade estava sendo ativamente explorada por hackers.
A mídia japonesa afirmou que a invasão foi obra de um grupo de ciber-espionagem chinês patrocinado pelo Estado, conhecido como Tick.
O grupo de hackers Tick é conhecido por realizar um grande número de campanhas de hackers destinadas a alvos em todo o mundo nos últimos anos.
A Trend Micro se recusou a comentar sobre o assunto.
Fonte: ZDNet