FLASHFLOOD

O FLASHFLOOD é uma ameaça de malware que foi vinculada ao APT30 (ameaça persistente avançada). Esse grupo de malware foi associado a vários ataques no interesse do governo chinês, e é muito provável que esse grupo de hackers seja patrocinado pelo Estado ou pelo menos suportado. Uma razão para acreditar que o FLASHFLOOD e o APT30 são apoiados pelo governo chinês é a sofisticação de suas campanhas de malware e sua capacidade de atingir metas que normalmente seriam inacessíveis, exigindo recursos substanciais e conhecimento técnico. Até alguns sistemas com falta de ar, isto é, sistemas não conectados à Internet, foram atingidos por alguns ataques do APT30, apontando para intrusões físicas e outras operações de espionagem como parte dos ataques do APT30.

O Componente de Malware do FLASHFLOOD

A principal operação que o FLASHFLOOD realiza é a coleta de dados do dispositivo da vítima. O FLASHFLOOD usa um ataque que envolve dispositivos de memória portáteis, como dispositivos de memória externos, unidades flash, discos rígidos externos, telefones e muitos outros. Usando esse recurso, o FLASHFLOOD parece ter sido projetado para coletar dados de um sistema com falta de ar para um dispositivo de memória externo, permitindo que os atacantes coletem os dados de maneira indireta, e não diretamente do dispositivo comprometido. Ameaças como FLASHFLOOD foram projetadas para serem instaladas sem o conhecimento da vítima, permitindo que os criminosos entreguem FLASHFLOOD em um dispositivo externo depois de comprometer uma pessoa que tem acesso ao dispositivo de destino. FLASHFLOOD copia os arquivos de destino para um local temporário e os comprime para facilitar a entrega. FLASHFLOOD foi projetado para procurar determinados arquivos, procurando por seqüências e extensões específicas. FLASHFLOOD irá verificar vários diretórios no computador infectado. O FLASHFLOOD também coletará informações do Catálogo de Endereços do Windows no dispositivo infectado, na tentativa de obter informações de contato para outras possíveis vítimas do ataque. FLASHFLOOD copiará todos os dados para um diretório chamado "% WINDIR%\$NtUninstallKB885884$\". O FLASHFLOOD fará alterações no registro do dispositivo de computador infectado, permitindo que o FLASHFLOOD atinja a persistência, o que significa que ele será executado automaticamente quando o dispositivo infectado for inicializado ou o usuário de destino fizer login no Windows. Não há dúvida de que o FLASHFLOOD é um sofisticado malware. O FLASHFLOOD é muito semelhante a outra ameaça de malware do APT30, conhecida como SPACHIP, e parece ter vários aspectos em comum na maneira como compacta e criptografa seus dados.

O APT30 e Ameaças de Malware como o FLASHFLOOD

É improvável que usuários de computadores individuais se tornem alvos de ataques FLASHFLOOD, a menos que tenham uma conexão para proteger redes e dispositivos associados a alvos de alto perfil na Ásia. Ameaças como FLASHFLOOD geralmente não são implantadas contra alvos públicos ou aleatórios, mas fazem parte de ataques de malware altamente direcionados, destinados a comprometer alvos específicos que podem ser de interesse político ou financeiro. Os ataques do APT30 parecem ter como alvo redes governamentais, redes militares, infraestrutura crítica e importantes instituições financeiras e de pesquisa. Os analistas de malware também receberam relatos de ataques do APT30 contra jornalistas e meios de comunicação. O FLASHFLOOD é apenas uma das muitas ameaças de malware desenvolvidas pelo APT30, que também incluem ameaças como MILKMAID, ORANGEADE Droppers, BACKBEND , GEMCUTTER e CREAMSICLE. Estes foram desenvolvidos nos últimos dez anos e foram aprimorados constantemente à medida que o APT30 realiza novos ataques. Atualmente, os ataques do APT30 parecem estar focados no Oriente Médio e no Sudeste Asiático e parecem fazer parte da promoção dos objetivos do governo chinês. No entanto, o governo chinês negou uma conexão com o APT30 desde que esse grupo de hackers teve início em 2005, alegando que eles foram tão vítimas desse grupo quanto qualquer outro governo. Isso não é consistente com os fatos ou com os padrões dos ataques que foram associados ao APT30.