Converge Comunicações -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Palo Alto Networks divulga relatório sobre espionagem que mira ativistas dos direitos das minorias

Postado em: 26/01/2016, às 16:42 por Redação

Nos últimos sete meses a Unit 42, unidade de pesquisas da Palo Alto Networks, esteve investigando uma série de ataques atribuídos a um grupo apelidado de Scarlet Mimic. Os ataques começaram há quatro anos e seu padrão de direcionamento indica que o principal objetivo do grupo é reunir informações sobre ativistas dos direitos das minorias na China.

Não há evidências que liguem o Scarlet Mimic há fontes do governo, mas certamente trata-se de um grupo financiado e com muitos recursos, motivados por questões semelhantes às posições declaradas do governo chinês. A campanha leva este nome porque seu tráfego de comando e controle evitam a detecção ao imitar o Windows Messenger e o Yahoo Messenger, e seu ataque principal é feito com o FakeM,  um shellcode que explora uma backdoor do  Windows.

De acordo com a Palo Alto Networks, o FakeM vem evoluindo com a ajuda dos desenvolvedores do Scarlet Mimic. Os especialistas descobriram variantes FakeM que usam SSL para criptografar comunicações de comando e controle. Uma variante ainda usa um protocolo SSL personalizado que ignora a tradicional mensagem inicial (client hello message), na qual o cliente especifica a versão do protocolo SSL que deseja utilizar.

O Scarlet Mimic desenvolveu nove famílias diferentes de malware para entregar o FakeM e está ampliando seus ataques para mais plataformas. A Unit 42 descobriu também outras ferramentas compartilhando infraestrutura com FakeM – incluindo o trojan CallMe, desenvolvido para explorar Mac OSX; o Psylo, um downloader/uploader baseado em shellcode parecido com o FakeM, que compartilha infraestrutura com o MobileOrder, um trojan que compromete dispositivos Android. A conexão entre FakeM, Psylo, e MobileOrder sugere que o Scarlet Mimic está expandindo seus esforços de espionagem de PCs para dispositivos móveis, o que define uma grande mudança na tática.

O grupo utiliza o phishing direcionado, com uso intenso de documentos isca e ataques "watering holes" que funcionam como uma emboscada. Esses documentos incluem um press release do World Uyghur Congress, um gráfico comparando Vladimir Putin a Adolph Hitler, e um artigo do The New York Times sobre a apreensão das cinzas de um monge tibetano pela polícia chinesa.

Tags: , , , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top