COBERTURA ESPECIAL - Cyberwar - Segurança

29 de Julho, 2019 - 10:25 ( Brasília )

ESET identifica grupo por trás da espionagem cibernética para organizações diplomáticas na Europa e na América Latina

O Laboratório de Pesquisa ESET rastreou atividades maliciosas relacionadas ao grupo Ke3chang e ao malware Okrum, cujo objetivo era atingir missões diplomáticas no Brasil, Chile, Guatemala, Bélgica e Eslováquia

A ESET, empresa líder em detecção proativa de ameaças, descobriu o grupo de cibercriminosos que é responsável pelos os ataques aos computadores de missões diplomáticas europeias e latino-americanas.

A análise de laboratório da ESET concluiu que os malwares da Ketrican, responsáveis pela invasão a diferentes delegações em 2015, e o malware Okrum, cujos ataques ocorreram ao longo de 2017, estão relacionados.

A empresa identificou novas versões das famílias de malware criadas pelo grupo Ke3chang, além de um novo backdoor, que permite acesso remoto aos sistemas de computadores comprometidos e também desenvolvidos por esse grupo de cibercriminosos.

A ESET investiga há anos as atividades desse grupo criminoso, que parece operar na China. O backdoor encontrado por pesquisadores da ESET, chamado Okrum, foi detectado pela primeira vez no final de 2016 e sua atividade contra o governo e missões diplomáticas foi observada na Bélgica, Eslováquia, Brasil, Chile e Guatemala.

A investigação da ESET começou em 2015, quando foram detectadas atividades suspeitas de malware presentes em diferentes países europeus. De acordo com as primeiras hipóteses, o grupo de cibercriminosos parecia ter interesse especial na Eslováquia, embora seus ataques também tenham afetado a Croácia, a República Tcheca e outros países.

Ao analisar o malware, os pesquisadores da ESET identificaram o grupo Ke3chang como responsável e nomearam essas novas versões de malware como "Ketrican". Em 2016, a ESET descobriu uma ameaça desconhecida até hoje, mas tinha os mesmos objetivos da Ketrican na Eslováquia.

Esse backdoor, que estava ativo durante o ano de 2017, foi chamado de "Okrum". "Começamos a unir as peças, quando descobrimos que o backdoor Okrum estava sendo usado para lançar o backdoor Ketrican, compilado em 2017.

Além disso, percebemos que algumas das missões diplomáticas que estavam sendo atacadas por Okrum também tinham sido alvos da Ketrican em 2015", diz Zuzana Hromcova, pesquisadora da ESET que fez essas descobertas. "O grupo ainda está ativo de fato, em março deste ano, detectamos uma nova amostra do Ketrican".

 

Linha do tempo das atividades do grupo Ke3chang documentada e detectada pela ESET

Os criminosos usaram um arquivo de imagem PNG aparentemente inofensivo que poderia ser aberto até mesmo por um visualizador de imagens sem levantar suspeitas. No entanto, o malware extraiu uma carga maliciosa do arquivo para concluir o ataque aos seus alvos. Os criminosos tentaram ocultar o tráfego gerado pelo malware em seu servidor de comando e controle, camuflando-o como se fosse um tráfego regular, usando nomes de domínio aparentemente legítimos.

Em cada mês, os invasores modificavam o modo de instalação e seus componentes para evitar serem detectados.

Para acessar o relatório completo "OKRUM e KETRICAN: Uma visão geral da atividade recente do grupo Ke3chang clique no link abaixo:

www.welivesecurity.com/wp-content/uploads/2019/07/ESET_Okrum_and_Ketrican.pdf

Para saber mais sobre segurança de computadores, entre no portal de notícias da ESET: www.welivesecurity.com/br/2019/07/19/okrum-um-backdoor-do-grupo-ke3chang-usado-para-atacar-missoes-diplomaticas/


VEJA MAIS