Threats
Novo relatório sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos cibergrupos especializados nesta área
16/08/2023
Um relatório recente da Kaspersky sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos grupos especializados que operam nesta área. Indústrias de manufatura e sistemas de controlo industrial (ICS) e integração foram particularmente afetadas, o que destaca a necessidade urgente de um maior reforço da cibersegurança. Durante a investigação, foram descobertos uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Estas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do grupo APT31, também conhecido como Judgment Panda e Zirconium. A investigação revelou ainda o uso de recursos avançados concebidos para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos para contornar as medidas de segurança. Estas ferramentas possibilitaram o estabelecimento de canais contínuos para violações de dados, inclusive de sistemas extremamente seguros. É importante observar que mais uma vez foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLL maliciosas na memória) para tentar evitar a deteção precoce do ataque. Serviços de armazenamento de dados na cloud, como o Dropbox e Yandex Disk, bem como plataformas de partilha temporário de ficheiros, foram usados para roubar dados e implantar malware. Também foi instalada uma infraestrutura de comando e controlo (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controlo das redes comprometidas. Nestes ataques, foram implantadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, esta família de malware evoluiu, com novas variantes a surgir em 2022, para atingir especificamente a infraestrutura de organizações industriais. Além disso, foi descoberto durante a investigação um novo malware chamado MeatBall, um backdoor com amplas capacidades de acesso remoto. |