Tweet
Hackers usam Dropbox e WordPress em campanha de ciberespionagem
Hackers chineses por trás dos ataques ao New York Times usaram Dropbox e WordPress como "estrutura de ataque", para espalhar malware e se infiltrar em empresas
Hackers chineses por trás da campanha de ciberespionagem amplamente divulgada contra o The New York Times adicionaram o Dropbox e o WordPress em sua lista de ferramentas de spear-phishing (ou ataques com e-mails maliciosos direcionados).
O grupo, conhecido por especialistas de segurança como DNSCalc, tem utilizado o serviço de compartilhamento de arquivos Dropbox há aproximadamente 12 meses para espalhar malware, disse Rich Barger, executivo chefe da inteligência para Cyber Squared.
"Eu não diria que a tática é nova", disse Barger nessa quinta-feira (11). "É apenas algo que as pessoas não estão realmente olhando ou prestando atenção."
A quadrilha, identificada pela empresa de segurança Madiant, está entre os 20 grupos chineses que lançam ataques contra alvos específicos para roubar informações. O DNSCalc estava atrás de informações sobre os indivíduos ou governos ligados à Associação de Nações do Sudeste Asiático - ASEAN, organização não-governamental que representa os interesses econômicos de 10 países do Sudeste Asiático.
Como atuam
Os crackers não exploraram qualquer vulnerabilidade no Dropbox ou WordPress. Em vez disso, eles abriram contas e utilizaram os serviços para atuar como uma infraestrutura.
A quadrilha enviou ao Dropbox um arquivo ".zip" como se pertencesse ao Conselho de Negócios da ASEAN-EUA. As mensagens foram enviadas a pessoas ou entidades que estariam interessadas no projeto de políticas do Conselho.
O documento, contido no arquivo, era legítimo, disse Barger. Mas, quando o conteúdo era descompactado, outro arquivo de nome "2013 US-ASEAN Business Council Statement of Priorities in the US-ASEAN Commercial Relationship Policy Paper.scr" podia ser lido. Ao clicar em tal arquivo, um PDF seria aberto, enquanto um malware abria uma porta para o computador host em segundo plano.
Uma vez que a porta estava aberta, o malware se conectava a um blog WordPress criado pelos atacantes. A página continha o endereço IP e o número da porta de um servidor de comando e controle que o malware entraria em contato para fazer o download de um software adicional.
Prevenção
O Dropbox é uma plataforma de lançamento de ataques interessante porque funcionários de muitas empresas utilizam o serviço. "As pessoas confiam no Dropbox", disse Barger.
Para as empresas que têm o serviço em sua whitelist, o malware que se desloca por meio do Dropbox não é detectado pelos sistemas de prevenção de intrusão de uma empresa. Além disso, as comunicações com um blog WordPress provavelmente passaram despercebidas, uma vez que isso não seria um comportamento incomum para qualquer funcionário com acesso à Internet.
Em geral, nenhuma tecnologia pode prevenir esse tipo de ataque. "Não há um calcanhar de Aquiles aqui", disse Barger.
A melhor prevenção é para os profissionais de segurança compartilhar informações quando suas empresas são alvo, para que outros possam elaborar sua própria defesa, disse.
Vale lembrar que, no ataque ao New York Times, os crackers invadiram sistemas do jornal em setembro de 2012 e atuaram por quatro meses antes de serem detectados.
Hackers chineses por trás dos ataques ao New York Times usaram Dropbox e WordPress como "estrutura de ataque", para espalhar malware e se infiltrar em empresas
Hackers chineses por trás da campanha de ciberespionagem amplamente divulgada contra o The New York Times adicionaram o Dropbox e o WordPress em sua lista de ferramentas de spear-phishing (ou ataques com e-mails maliciosos direcionados).
O grupo, conhecido por especialistas de segurança como DNSCalc, tem utilizado o serviço de compartilhamento de arquivos Dropbox há aproximadamente 12 meses para espalhar malware, disse Rich Barger, executivo chefe da inteligência para Cyber Squared.
"Eu não diria que a tática é nova", disse Barger nessa quinta-feira (11). "É apenas algo que as pessoas não estão realmente olhando ou prestando atenção."
A quadrilha, identificada pela empresa de segurança Madiant, está entre os 20 grupos chineses que lançam ataques contra alvos específicos para roubar informações. O DNSCalc estava atrás de informações sobre os indivíduos ou governos ligados à Associação de Nações do Sudeste Asiático - ASEAN, organização não-governamental que representa os interesses econômicos de 10 países do Sudeste Asiático.
Como atuam
Os crackers não exploraram qualquer vulnerabilidade no Dropbox ou WordPress. Em vez disso, eles abriram contas e utilizaram os serviços para atuar como uma infraestrutura.
A quadrilha enviou ao Dropbox um arquivo ".zip" como se pertencesse ao Conselho de Negócios da ASEAN-EUA. As mensagens foram enviadas a pessoas ou entidades que estariam interessadas no projeto de políticas do Conselho.
O documento, contido no arquivo, era legítimo, disse Barger. Mas, quando o conteúdo era descompactado, outro arquivo de nome "2013 US-ASEAN Business Council Statement of Priorities in the US-ASEAN Commercial Relationship Policy Paper.scr" podia ser lido. Ao clicar em tal arquivo, um PDF seria aberto, enquanto um malware abria uma porta para o computador host em segundo plano.
Uma vez que a porta estava aberta, o malware se conectava a um blog WordPress criado pelos atacantes. A página continha o endereço IP e o número da porta de um servidor de comando e controle que o malware entraria em contato para fazer o download de um software adicional.
Prevenção
O Dropbox é uma plataforma de lançamento de ataques interessante porque funcionários de muitas empresas utilizam o serviço. "As pessoas confiam no Dropbox", disse Barger.
Para as empresas que têm o serviço em sua whitelist, o malware que se desloca por meio do Dropbox não é detectado pelos sistemas de prevenção de intrusão de uma empresa. Além disso, as comunicações com um blog WordPress provavelmente passaram despercebidas, uma vez que isso não seria um comportamento incomum para qualquer funcionário com acesso à Internet.
Em geral, nenhuma tecnologia pode prevenir esse tipo de ataque. "Não há um calcanhar de Aquiles aqui", disse Barger.
A melhor prevenção é para os profissionais de segurança compartilhar informações quando suas empresas são alvo, para que outros possam elaborar sua própria defesa, disse.
Vale lembrar que, no ataque ao New York Times, os crackers invadiram sistemas do jornal em setembro de 2012 e atuaram por quatro meses antes de serem detectados.
