A equipa de peritos GREAT da Kaspersky Lab descobriu a Blue Termite - uma campanha de ciberespionagem dirigida a centenas de organizações no Japão durante pelo menos dois anos. Os ciberatacantes procuravam informação confidencial e utilizavam um exploit zero-day no Flash Player e um sofisticado backdoor que era personalizado para cada vítima. Esta é a primeira campanha descoberta pela Kaspersky Lab que se centra de forma exclusiva em alvos japoneses - e continua ativa.
Em Outubro de 2014, os analistas da Kaspersky Lab encontraram uma amostra de malware nunca antes vista, que se destacava entre as demais devido à sua complexidade. Uma análise mais detalhada demonstrou que esta amostra era só uma pequena parte de uma campanha de ciberespionagem grande e sofisticada.
A lista de alvos inclui organizações não-governamentais, indústria pesada, química, sector financeiro, meios de comunicação, organizações educativas, do sector da saúde, indústria alimentar, entre outros.
Diversas técnicas de infeção
Para infetar as suas vítimas, a Blue Termite utiliza várias técnicas. Antes de Julho de 2015, para a maioria dos ataques era utilizada a técnica de spear-phishing– envio de software malicioso como ficheiro anexo a mensagens de email com conteúdo atrativo para a vítima. No entanto, em Julho mudaram de tática e começaram a difundir malware através de um exploit Flash zero-day (CVE-2015-5119, o exploit que foi libertado na sequência do incidente da Hacking Team no início deste Verão). Os cibercriminosos comprometeram vários websites japoneses e os visitantes desses sites descarregavam automaticamente um exploit que infetava o equipamento. Esta técnica é conhecida pelo nome drive-by-download.
A implementação de um exploit zero-day deu lugar a um aumento significativo na taxa de infeção registada pelos sistemas de deteção da Kaspersky Lab em meados de Julho.
Um dos websites comprometidos, pertencente a um membro do governo japonês, continha um script malicioso que filtrava os visitantes de acordo com os endereços IP, para centrar-se nos que entravam a partir do IP de uma organização japonesa concreta. Por outras palavras, só os utilizadores escolhidos a dedo recebiam a carga maliciosa.
Infeções da Blue Termite em 2014-2015
Malware exclusivo e artefactos linguísticos
Após a infeção bem-sucedida, é implantado no equipamento um sofisticado backdoor capaz de roubar passwords, descarregar e executar a carga útil adicional, recuperar ficheiros, etc. Uma das coisas mais interessantes da Blue Termite é que dá a cada vítima uma amostra de malware único, criada para ser executada num PC específico. De acordo com os investigadores da Kaspersky Lab, isto foi feito assim para dificultar a análise do malware e sua deteção.
A pregunta sobre quem estará por detrás deste ataque continua sem resposta. Como é costume, a atribuição da autoria dos ataques é uma tarefa muito complicada quando se trata de ciberataques sofisticados. No entanto, os analistas da Kaspersky Lab conseguiram recolher algumas amostras de linguagem. Em particular, a interface gráfica de utilizador do servidor de comando e controlo, assim como alguns documentos técnicos relacionados com o malware utilizado na operação, estão escritos em chinês. Isto pode significar que os autores falam este idioma.
Assim que os analistas da Kaspersky Lab reuniram suficiente informação para confirmar que a Blue Termite é uma campanha de ciberespionagem dirigida a organizações japonesas, representantes da empresa informaram as agências policiais locais sobre estas descobertas. Como a operação ainda está em curso, a investigação da Kaspersky Lab também prossegue.
"Embora a Blue Termite não seja a primeira campanha de ciberespionagem que ataca a Japão, é na verdade a primeira campanha conhecida pela Kaspersky Lab que se centra estritamente em alvos japoneses. Desde o início de Junho, quando o Serviço de Pensões do país foi informado sobre o ciberataque, diversas organizações japonesas começaram a implementar medidas de proteção. No entanto, os ciberatacantes, devem ter mantido uma estreita vigilância sobre eles e começaram a utilizar novos métodos de ataque que ampliaram com êxito o seu impacto", conta Vicente Díaz, analista principal da Kaspersky Lab.
Com o objetivo de reduzir o risco de ser infetado por uma campanha de ciberespionagem, os analistas da Kaspersky Lab recomendam que se sigam as seguintes medidas:
-
Manter atualizado o software, especialmente software que é muito utilizado, já que é normalmente o mais explorado pelos cibercriminosos
-
Se sabe que existem vulnerabilidades no software do dispositivo, mas não existem correções para as mesmas, evite o uso desse software
-
Suspeite de mensagens de email com ficheiros anexos
-
Use uma solução anti-malware
Os produtos da Kaspersky Lab detetam com êxito e bloqueiam o malware com os seguintes nomes de detecção:
Backdoor.Win32.Emdivi. *
Backdoor.Win64.Agent. *
Exploit.SWF.Agent. *
HEUR: Backdoor.Win32.Generic
HEUR: Exploit.SWF.Agent.gen
HEUR: Trojan.Win32.Generic
Trojan-Downloader.Win32.Agent. *
Trojan-Dropper.Win32.Agent. *
youtube.com/watch?v=FzPYGRO9LsA
