Uma operação de hacking e espionagem cibernética norte-coreana violou a rede de uma empresa de engenharia ligada a organizações militares e de energia. Os cibercriminosos exploraram uma vulnerabilidade de segurança cibernética no Log4j. Então, esses hackers usaram a falha Log4j para obter acesso antes de passar pela rede de uma empresa
Detalhado pela primeira vez em dezembro, a vulnerabilidade (CVE-2021-44228) permite que invasores executem código remotamente e obtenham acesso a sistemas que usam Log4j, uma biblioteca de log Java amplamente usada.
A natureza do Log4j significou que as agências de segurança cibernética pediram às organizações em todo o planeta a aplicar atualizações de segurança o mais rápido possível. No entanto, meses após a divulgação, muitas ainda estão vulneráveis à falha.
De acordo com pesquisadores de segurança cibernética da Symantec, uma dessas empresas que ainda estava vulnerável era uma empresa de engenharia não revelada que trabalha nos setores de energia e militar. Essa vulnerabilidade resultou na violação da empresa quando os invasores exploraram a lacuna em um servidor VMware View voltado para o público em fevereiro deste ano. A partir daí, os invasores conseguiram se movimentar pela rede e comprometer pelo menos 18 computadores.
Hackers usaram a falha Log4j para obter acesso antes de passar pela rede de uma empresa
A análise dos pesquisadores da Symantec sugere que a campanha é de um grupo que eles chamam de Stonefly. Este grupo é também conhecido como DarkSeoul, BlackMine, Operation Troy e Silent Chollima. Eles trabalham com espionagem pesada para a Coreia do Norte.
Outros pesquisadores de segurança cibernética sugeriram que a Stonefly tem ligações com o Lazarus Group, a operação de hackers mais infame da Coreia do Norte.
Porém, enquanto a atividade do Lazarus Group geralmente se concentra em roubar dinheiro e criptomoedas, a Stonefly é uma operação de espionagem especializada. Segundo pesquisadores, se envolve em ataques altamente seletivos “contra alvos que podem gerar inteligência para ajudar setores estrategicamente importantes” – incluindo energia, setor aeroespacial e militar.
“As capacidades do grupo e seu foco estreito na aquisição de informações confidenciais o tornam um dos mais poderosos atores de ameaças cibernéticas norte-coreanas que operam hoje”, alertam pesquisadores da Symantec.
Atuação há mais de 10 anos
A Stonefly existe pelo menos desde 2009. Entretanto, nos últimos anos dobrou o foco em informações altamente confidenciais e propriedade intelectual. Isso é alcançado com a implantação de ladrões de senha e malware trojan em redes comprometidas. No caso da empresa de engenharia não revelada, o primeiro malware foi lançado na rede poucas horas após o comprometimento inicial.
Entre as ferramentas implantadas neste incidente estava uma versão atualizada do malware backdoor Preft personalizado da Stonefly. A carga útil é entregue em etapas. Quando totalmente executado, torna-se uma ferramenta de acesso remoto HTTP (RAT) capaz de fazer download e upload de arquivos e informações, juntamente com a capacidade de baixar cargas adicionais, bem como desinstalar-se quando o malware não for mais necessário.
Juntamente com o backdoor Preft, a Stonefly também implantou um ladrão de informações desenvolvido sob medida que os invasores planejavam usar como um meio alternativo de exfiltração.
Stonefly está ativo há mais de uma década e é improvável que seus ataques parem em breve. Isso porque o grupo tem um histórico de desenvolvimento de novas táticas e técnicas. Embora o Stonefly seja classificado como um poderoso grupo de hackers apoiado pelo estado. Neste caso, eles não precisaram de técnicas avançadas para violar uma rede. Simplesmente, aproveitaram uma vulnerabilidade de segurança crítica não corrigida.
Para ajudar a garantir que vulnerabilidades conhecidas, como o Log4j, não possam ser exploradas por grupos de hackers apoiados pelo estado ou criminosos cibernéticos, as organizações devem garantir que as atualizações de segurança para aplicativos e software sejam lançadas o mais rápido possível. No caso da empresa acima, esse processo envolveria a aplicação dos patches disponíveis para servidores VMware, que estavam disponíveis antes do ataque.
Outros protocolos de segurança cibernética, como fornecer aos usuários autenticação multifator, também podem ajudar a evitar ataques que aproveitam senhas roubadas para se movimentar nas redes.
Via ZDNet