Lazarus Group ataca empresas de logística: Falhas na logística global de frete podem ter sérias consequências. Seja digital ou analógico: as falhas são particularmente complicadas para a logística global de frete. Isso só recentemente foi demonstrado pelo bloqueio do Canal de Suez pelo navio porta-contêineres "Ever Given".
Os pesquisadores da ESET descobriram um backdoor anteriormente desconhecido usado em um ataque a uma empresa de logística de frete na África do Sul. O notório grupo Lazarus está por trás do malware. Para esse fim, os especialistas em segurança do fabricante europeu de segurança de TI descobriram semelhanças com operações e procedimentos anteriores do grupo de hackers.
Backdoor Vyveva tem recursos de espionagem
O backdoor, chamado Vyveva, possui várias funções de espionagem, como coletar informações no computador de destino e encaminhá-las para os computadores Lazarus. Uma interrupção dos sistemas de TI também teria sido possível. O spyware se comunica com seu servidor de Comando e Controle (C&C) por meio da rede Tor. Os pesquisadores da ESET publicaram seus resultados no WeliveSecurity.
“O Vyveva compartilha muitas semelhanças de código com amostras mais antigas do Lazarus. Além disso, o uso de um protocolo TLS falso na comunicação de rede, o encadeamento de linhas de comando e a forma como a criptografia e os serviços Tor são usados apontam para o grupo APT. Portanto, podemos atribuir o backdoor ao grupo Lazarus com alta probabilidade”, diz Filip Jurčacko, o pesquisador da ESET que analisou o Vyveva.
Pesquisadores da ESET suspeitam de ataque direcionado
As investigações do fabricante europeu de segurança de TI indicam que o Vyveva foi usado de maneira direcionada. Os pesquisadores da ESET só conseguiram encontrar os computadores de duas vítimas, que são servidores de uma empresa de logística sul-africana. A análise dos pesquisadores da ESET revelou que o Vyveva está em uso desde pelo menos dezembro de 2018.
Comunicação pela rede Tor
O backdoor executa comandos emitidos pelo grupo de hackers, como a coleta de dados confidenciais. Há também um comando para alterar os carimbos de data/hora nos arquivos. O Vyveva se comunica com o servidor C&C por meio da rede Tor e o contata em intervalos de três minutos. O spyware envia informações sobre o computador afetado e suas unidades. Aqui são usados os chamados watchdogs, que enviam uma mensagem ao servidor C&C quando certas alterações são feitas no sistema infectado.
“Particularmente interessantes são os watchdogs backdoor especiais que monitoram as unidades recém-conectadas e desconectadas. Há também um watchdog que monitora o número de sessões ativas. Isso pode ser, por exemplo, o número de usuários registrados. Esses componentes podem acionar uma conexão com o servidor C&C fora do intervalo regular pré-configurado de três minutos”, explica Jurčacko.
Mais em WeLiveSecurity em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.