Mercado fechará em 4 h 17 min
  • BOVESPA

    100.864,84
    +101,24 (+0,10%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.334,73
    +39,90 (+0,08%)
     
  • PETROLEO CRU

    110,58
    +1,01 (+0,92%)
     
  • OURO

    1.821,20
    -3,60 (-0,20%)
     
  • BTC-USD

    20.687,86
    -96,98 (-0,47%)
     
  • CMC Crypto 200

    450,78
    +0,71 (+0,16%)
     
  • S&P500

    3.861,33
    -38,78 (-0,99%)
     
  • DOW JONES

    31.259,29
    -178,97 (-0,57%)
     
  • FTSE

    7.324,83
    +66,51 (+0,92%)
     
  • HANG SENG

    22.418,97
    +189,45 (+0,85%)
     
  • NIKKEI

    27.049,47
    +178,20 (+0,66%)
     
  • NASDAQ

    11.875,00
    -165,50 (-1,37%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5336
    -0,0105 (-0,19%)
     

Cibercriminosos usam falha já corrigida para invadir empresa ligada a militares

Cibercriminosos norte-coreanos teriam invadido a rede de uma empresa de engenharia ligada a organizações militares e energéticas, de acordo com o site ZDNet. Eles exploraram uma falha de cibersegurança na Log4j, uma biblioteca de registros Java muito usada por desenvolvedores.

Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que os invasores executem à distância o código invasor e obtenham acesso a computadores que usam o Log4j. Algumas empresas e entidades já haviam adotado proteções contra a falha, mas outros ainda estavam expostas — como foi o caso desta empresa de engenharia, que não teve seu nome divulgado.

Como os Cibercriminosos da Coreia do Norte atuaram

De acordo com pesquisadores da empresa de cibersegurança Symantec, a invasão à empresa atacada ocorreu quando os cibercriminosos exploraram a brecha em um servidor VMware View voltado para o público em fevereiro deste ano. A partir daí, os criminosos puderam atuar na rede interna da companhia e comprometer pelo menos 18 computadores. A VMware já havia lançado uma correção para esta falha desde dezembro do ano passado, com uma atualização em abril deste ano.

Ataque coordenado foi realizado pela organização hacker norte-coreana Stonefly, diz Symantec (Imagem: Reprodução/Pexels/cottonbro)
Ataque coordenado foi realizado pela organização hacker norte-coreana Stonefly, diz Symantec (Imagem: Reprodução/Pexels/cottonbro)

A análise da Symantec sugere que o ataque coordenado foi realizado por uma organização chamada Stonefly, também conhecido como DarkSeoul, BlackMine, Operação Troy e Silent Chollima, que é um grupo de espionagem que trabalha fora da Coreia do Norte.

Outros pesquisadores acreditam que a Stonefly, que atua desde 2009, tem ligações com o Lazarus, operação de cibercriminosos mais conhecida da Coreia do Norte. No entanto, este último grupo se concentra em roubar dinheiro e criptomoedas, enquanto a Stonefly se especializou em espionagem e ataques seletivos contra alvos de inteligência, incluindo setores de energia, aeroespacial e militar.

Uma das formas de atuação do grupo é implantar códigos que roubam senhas e malware do tipo trojan (cavalo de Troia, isto é, que se disfarça de programas inofensivos) em redes que tiveram sua segurança comprometida. No caso da empresa de engenharia, o primeiro vírus foi instalado na rede poucas horas após a invasão inicial.

Uma das ferramentas implantadas no incidente foi uma versão atualizada do malware backdoor Preft, que foi enviado em etapas. Quando totalmente executado, torna-se uma ferramenta capaz de baixar e carregar arquivos e informações das máquinas, além de se desinstalar quando não é mais necessário. O Stonefly também enviou um programa ladrão de informações desenvolvido sob medida para agir como uma forma alternativa de vazamento de dados.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos