Hackers Re-Emergentes da Campanha Cibernética MoleRats Evoluem para Espalhar o Trojan Poison Ivy
MoleRats e Poison Ivy, uma combinação provável para aqueles com uma infestação de pragas incômodas, é na verdade uma receita de tecnologia servida por hackers que têm como alvo vários grupos do governo em uma onda de ataques cibernéticos por roubo de dados.
Como uma campanha destinada a várias entidades governamentais, o Poison Ivy Trojan foi um meio predominante de roubar dados de fontes vulneráveis. O conjunto de metas representava ampla contabilidade para os governos dos EUA e do Reino Unido. Pesquisadores de segurança rastrearam a campanha para membros da equipe de hackers de Gaza, que agora é chamada de MoleRats, conforme observado em um relatório recente do FireEye.
Muitos ataques orquestrados em junho e julho de 2013 foram contra alvos do governo israelense, usando uma carga útil Poison Ivy, que se conectava a servidores de comando e controle usados pelos atacantes do MoleRat. As amostras de Poison Ivy usadas pelo grupo MoleRats utilizavam chaves em vez de senhas, um recurso atípico para um ataque, o que dificulta a luta e o rastreamento.
O carregamento de arquivos .pik que abrigam uma chave para proteger as comunicações entre o servidor de controle e o sistema atacado foi encontrado no Poison Ivy. Convenientemente, o Poison Ivy pode proteger as comunicações através de uma senha de texto ASCII de 'admin' por padrão.
Os pesquisadores sugeriram que o uso de Poison Ivy pelos hackers de campanha cibernética da MoleRats é uma mudança improvável para eles, e sua alteração de comportamento continua sendo um mistério. Alguns pesquisadores sugeriram que a medida poderia ser mais política do que técnica, especialmente considerando como seus métodos tradicionais de ataque eram favorecidos pelos grupos de hackers chineses. Possivelmente, sua alteração é uma ação intencional da MoleRates para desviar a atribuição a atividades de ameaças de malware na China.
Embora o MoleRats tenha mudado um pouco de direção, ao saber como estão utilizando o Poison Ivy de maneira agressiva para atingir entidades em todo o mundo, suspeitamos que eles continuarão evoluindo e se tornando mais organizados nos seus métodos de ataque de malware. A campanha atual é uma das muitas empresas de segmentação que usam ameaças cibernéticas avançadas. O MoleRats é um dos mais recentes a ser adicionado à longa lista de grupos de ataques cibernéticos focados que, coletivamente, custaram a mais de 508.000 cidadãos dos EUA seus empregos devido a ataques anteriores por muitos anos.
Este é um caso em que o 'Poison' se torna o doce dos MoleRats, à medida que procuram novas maneiras criativas de orquestrar ataques sofisticados em todo o mundo.