Codoso: grupo chinês por trás de novos ataques
Um grupo de espionagem cibernética ligado a China tem focado organizações em diversos setores, de acordo com relatório da Palo Alto Networks Unidade 42.
Este ator, conhecido como Codoso e C0d0so0, tem atuado desde pelo menos 2010, no passado focando suas atividades nos setores de Defesa, Finanças, Energia e Governo, juntamente com grupos de reflexão globais e dissidentes políticos.
Um relatório sobre as atividades da Codoso foi publicado em fevereiro de 2015 pela iSight Partners, poucos meses depois de o grupo ter invadido a Forbes.com e outros sites legítimos, em ataques destinados a espionar serviços financeiros e empresas de defesa dos Estados Unidos e dissidentes chineses. Os ataques envolveram uma falha 0-Day do Adobe Flash Player (resolvida em dezembro de 2014) e uma família de malware conhecido como Derusbi.
Uma nova onda de ataques atribuídos pela Palo Alto Networks pelo grupo Codoso foi destinada a organizações dos setores de Telecomunicações, Educação, Alta-Tecnologia, Serviços Jurídicos e de setores industriais. Os atacantes enviaram e-mails de phishing, que levava os usuários à sites comprometidos, utilizados para plantar malware e abrir vulnerabilidades nos sistemas.
Os pesquisadores descobriram duas variantes de malware que está sendo usado nestes ataques, e, enquanto eles não parecem pertencer a nenhuma família conhecida, a sua estrutura de comunicação de rede é semelhante ao visto em Derusbi, que especialistas dizem que é exclusivo de grupos chineses de espionagem cibernética.
Uma das peças de malware usados por Codoso em seus ataques recentes é disfarçado como um gerador de número de série para AVG AntiVirus. Uma vez que este malware infecta um sistema, a ameaça verifica a presença de caixas de areia e ambientes virtuais (Sandbox e ambientes usados como "espaços seguros" para evitar contaminação) e começa a coleta de informações sobre a máquina infectada, incluindo o endereço MAC, IP-Number, nome de usuário, nome da máquina, e dados da CPU. O malware, que utiliza HTTP para comunicações de rede, tenta então baixar plugins adicionais a partir de um servidor remoto (C&C - Command-and-Control).
O segundo pedaço deste malware, mais recente que a primeira variante, é disfarçado como um arquivo DLL de uma aplicação legítima (McAfee). Esta ameaça, que usa um protocolo de rede personalizado através da porta 22, também coleta informações do sistema e providencia downloads de plugins adicionais de downloads a partir do seu servidor.
Portanto, se você usa AVG-Antivirus ou McAfee, é interessante notar se seus funcionários os estão "registrando" por via fraudulenta - o que pode ser a 1a variante deste malware - e, no caso da McAfee, verificar se a porta 22 está trafegando dados sem justificativa plausível (lembrando que esta porta pode ser usada em transmissões de FTP).
Sempre afirmo que a busca por informações privilegiadas é em amplo espectro, independente do porte da empresa ou localização geográfica. Existem mecanismos que "filtram" as informações relevantes daquelas sem nenhum valor imediato, logo, não existe "trabalho braçal" dos atores maliciosos na busca e varredura atrás de informações.
E lembre-se: toda informação possui valor - seja para obtê-la ou construí-la, seja como valor estratégico-industrial e/ou comercial.
