HOPLIGHT Trojan

O Departamento de Segurança Interna e o FBI dos Estados Unidos relataram o Trojan HOPLIGHT desenvolvido por um grupo avançado de ameaças persistentes com sede na Coréia do Norte, conhecido como 'Lázaro'. Os dados sobre o Trojan HOPLIGHT foram divulgados on-line por meio do comunicado MAR AR19-100A, que detalhava aspectos do ataque do Trojan HOPLIGHT e o vinculava ao grupo Lazarus, também conhecido como HIDDENCOBRA, ZINC, Guardians of Peace ou Nickel Academy. Este comunicado foi divulgado pelo governo dos Estados Unidos para ajudar pesquisadores de segurança de PCs e administradores de rede a se protegerem de ataques vinculados ao governo norte-coreano.

Como os Criminosos Usam o HOPLIGHT Trojan

O relatório do governo sobre o Trojan HOPLIGHT incluía informações sobre como mitigar o ataque e uma análise detalhada de nove variantes diferentes do Trojan HOPLIGHT. Sete deles são aplicativos proxy projetados para ocultar o tráfego entre o HOPLIGHT Trojan e seus servidores de comando e controle. Esse aspecto do ataque do Trojan HOPLIGHT permitiu ao grupo HIDDEN COBRA ocultar sua identidade e localização ao realizar os ataques do Trojan HOPLIGHT. Mais informações do comunicado afirmam que os arquivos analisados pelos pesquisadores de malware incluem um certificado SSL público e a carga útil real do ataque do Trojan HOPLIGHT. Esse arquivo de carga útil é codificado com uma senha ou chave, dificultando o estudo. Após a instalação do Trojan HOPLIGHT, ele é projetado para coletar primeiro detalhes sobre a máquina infectada e retransmiti-la para seus servidores de Comando e Controle. Essas informações incluem o sistema operacional e a versão, informações de volume sobre o dispositivo infectado, suas unidades e outros dados básicos. Depois que o Trojan HOPLIGHT realiza seu ataque completo, ele pode realizar uma ampla variedade de tarefas no computador infectado. O seguinte é extraído do comunicado do FBI e do Departamento de Segurança Interna, listando os recursos do Trojan HOPLIGHT:

'--- Iniciar recurso de malware ---

--- Acabar com a capacidade de malware --- '

Não é difícil imaginar os aplicativos capazes de executar as operações acima em um computador infectado. Como o HOPLIGHT Trojan está sediado na Coréia do Norte, é quase certo que ele é patrocinado pelo Estado, o que significa que os criminosos responsáveis pelos ataques do HOPLIGHT Trojan terão recursos significativos à sua disposição, muito mais do que o desenvolvedor médio de hackers ou malware. No entanto, é improvável que o ataque do Trojan HOPLIGHT seja usado contra usuários individuais de computador, pois é mais provável que alvos de perfil mais alto, como empresas, agências governamentais e indivíduos, sejam o alvo desses ataques. É claro que os ataques do Trojan HOPLIGHT foram projetados para espionagem, embora também possam ser potencialmente usados para causar interrupções e infra-estrutura de ataques, tanto físicas quanto financeiras.

Protegendo Dispositivos contra Ameaças como o o HOPLIGHT Trojan

Embora não haja dúvida de que o Trojan HOPLIGHT é um ataque de alto nível, as medidas usadas para proteger dispositivos e redes contra esses ataques não são diferentes das que seriam usadas na maioria dos ataques. Um programa de segurança totalmente atualizado e a aplicação dos patches de segurança mais recentes são essenciais para manter um dispositivo protegido contra o Trojan HOPLIGHT. Também é crucial evitar ataques de spear phishing e outras táticas usadas para fornecer essas ameaças. Isso significa que os usuários de computador precisam aprender a identificar táticas comuns e reagir adequadamente, evitando conteúdo on-line obscuro e anexos de email não solicitados, que são métodos comuns para entregar o Trojan HOPLIGHT. Também é fundamental que corporações e agências governamentais treinem funcionários em segurança de computadores para evitar táticas de engenharia social que possam depender das vítimas que divulgam senhas ou outras informações importantes sem estar ciente disso.