O Barium Group Ameaça Milhões de Computadores Através de Ataques Furtivos de Hackers na Cadeia de Suprimentos
Um novo grupo de hackers chamado Barium ganhou as manchetes nos últimos três anos com sua estratégia exclusiva de infectar computadores em grande escala por meio de uma forma particularmente insidiosa de hacking chamada "ataque à cadeia de suprimentos de software". Ao ocultar códigos maliciosos em aplicativos e atualizações de software confiáveis, os hackers da cadeia de suprimentos transportam ameaças de malware para milhões de computadores com um único ataque e sem que os usuários percebam quaisquer sinais da atividade cibernética não autorizada em execução em suas máquinas. No início de 2019, os pesquisadores determinaram que um único grupo de hackers, provavelmente de língua chinesa, conduziu esses ataques, seguindo um padrão muito semelhante e explorando os canais de distribuição de produtos de pelo menos seis empresas diferentes de desenvolvimento de software. Outros nomes de membros de bário são conhecidos sob incluem mau Panda, ShadowHammer e ShadowPad.
A estratégia da Barium é altamente perturbadora para os pesquisadores de segurança cibernética, não apenas porque permite que os invasores infectem computadores em larga escala, mas também porque prejudica os mecanismos mais básicos para verificar a integridade de um sistema de computador, como atualizações legítimas de software e digital- produtos de software assinados. Isso é muito diferente da exploração regular de vulnerabilidades ou tipos de ataques de phishing.
Os ataques à cadeia de suprimentos da Barium foram detectados pela primeira vez em 2017, quando uma empresa de segurança cibernética identificou uma versão backdoor da popular ferramenta de gerenciamento remoto coreana NetSarang. Intrigante, a versão maliciosa do produto trazia a assinatura digital da empresa. Como finalmente confirmado pelo NetSarang, os invasores violaram a rede da empresa e injetaram seu código malicioso no aplicativo antes que o produto fosse assinado criptograficamente. Em seguida, outros dois casos de ataques da cadeia de suprimentos contra centenas de milhares de computadores se seguiram. Alguns meses depois, uma versão corrompida da ferramenta de limpeza para Windows e macOS CCleaner apareceu no mercado. Em janeiro de 2019, o fabricante de computadores Asus lançou uma atualização de software seqüestrada em suas máquinas por pelo menos cinco meses e, embora o código tenha sido diferente desta vez, ele compartilhou algumas características únicas com o ataque do CCleaner. Mais tarde, códigos semelhantes aos ataques da Asus também foram identificados em versões backdoor de videogames distribuídos por pelo menos três empresas diferentes.
Os Ataques dos hackers do Barium levam a danos massivos ao sistema
O potencial de dano desses ataques poderia ter sido devastador se a Barium implementasse uma ameaça de ransomware. No entanto, por enquanto, o grupo parece focado em espionagem, e não em destruição. Outro fato interessante é que o grupo chinês de hackers não parece estar interessado em obter lucros e espia apenas uma pequena fração dos computadores comprometidos. No caso da Asus, os atacantes filtraram apenas cerca de 600 computadores de um total de 600.000 máquinas infectadas, verificando seus endereços MAC. No incidente do CCleaner, um pedaço de spyware de "segundo estágio" foi descartado em 40 dos 700.000 computadores infectados, enquanto os pesquisadores mal conseguiram descobrir evidências de uma amostra de spyware de "terceiro estágio" que agia como ladrão de senhas e keylogger.
Ainda não está claro como a Barium consegue violar todas as empresas cujo software seqüestra, mas pode-se suspeitar que um ataque à cadeia de suprimentos permita outro. Muito pouco se sabe sobre a identidade dos hackers por trás do grupo Barium. As evidências sugerem que eles falam chinês e vivem na China continental. Algumas pistas do código de Barium o relacionam com um grupo de espionagem patrocinado pelo Estado chinês anteriormente conhecido como APT17 ou Axiom, enquanto também há semelhanças com um grupo mais antigo chamado Winnti . As origens do bário parecem irrelevantes, no entanto, em relação ao que o grupo poderá fazer no futuro. Seu próximo ataque será, sem dúvida, um desafio ainda maior para os pesquisadores, à medida que os métodos de hackers da Barium evoluem e crescem em sofisticação.