Arquivos de tag para “maleare”

SAS-2019: notícias de cibersegurança diretamente do lado sombrio

Olá, pessoal.

Hoje, trouxe para vocês uma nova atualização de notícias de cibersegurança do lado sombrio, desta vez, dedicada às apresentações do nosso anual Security Analyst Summit que ocorreu mês passado em Cingapura.

Uma das principais características de toda a  SAS são as apresentações dos especialistas. Ao contrário de outras conferências geopoliticamente corretas, os analistas compartilham suas descobertas sobre quaisquer ameaças cibernéticas, não importando de onde elas vêm, assim, ano após ano, seguem esse princípio. Afinal, os malwares continuam sendo malwares e os usuários precisam ser protegidos contra ameaças, independentemente das intenções de seus criadores. Você se lembra do efeito bumerangue?

E se qualquer meio de comunicação mente abertamente sobre nossos princípios e motivações, assim seja. Mas melhor que deixá-los saber que ao agir desse modo, eles não só vão contra aos nossos princípios, nós gostamos de dar o exemplo e isso demonstra a nossa liderança na resolução de operações de ciberespionagem. Além disso, eles devem saber que não planejamos mudar nossa posição em detrimento dos usuários.

Com isso em mente, deixo aqui as conversas mais interessantes, incríveis e aterrorizantes que ocorreram na SAS.

1. TajMahal

No ano passado, descobrimos um ataque a uma organização diplomática na Ásia Central. Obviamente, cibercriminosos com um alvo desse porte,  não deve surpreender ninguém. Os sistemas de informação de embaixadas, consulados e missões diplomáticas sempre atraíram o interesse de outros estados e de suas agências de espionagem ou, de qualquer pessoa com os conhecimentos e recursos financeiros necessários. Sim, todos nós lemos romances de espionagem, mas com certeza você não leu isso em nenhum livro. Os golpitas construíram um autêntico “TajMahal”, uma plataforma APT com um grande número de plugins usados (nunca vimos o uso de tantos  em uma única plataforma APT até hoje) para todos os cenários de ataque usando várias ferramentas.

O mecanismo consiste em duas partes: Tóquio, a principal backdoor, que também é necessária para completar a função de envio do último programa malicioso, e Yokohama, que possui funcionalidades diferentes, como roubar cookies, interceptar documentos da fila de impressão, registrar chamadas VoIP ( incluindo WhatsApp e FaceTime), tire screenshots e muito mais. A operação TajMahal está ativa há pelo menos 5 anos e sua complexidade pode sugerir que ela foi desenvolvida com mais de um objetivo em mente; para descobrir toda essa estratégia, tivemos que cavar um pouco mais.

Você pode encontrar todas as informações sobre esta APT aqui.

Leia em:SAS-2019: notícias de cibersegurança diretamente do lado sombrio