SOUNDBITE
O mundo cibernético foi invadido pelos hackers e grupos de hackers. Aqueles entre eles que são os mais avançados, ameaçadores e incontroláveis recebem o título APT, que significa Advanced Persistent Threat. Tal é o assunto do artigo de hoje - APT32, também conhecido como OceanLotus. Esse notório grupo de hackers é originário do Vietnã e seus principais alvos estão localizados em outros países do Sudeste Asiático em geral. Acredita-se que eles estejam ativos desde 2012 e possam ter laços com o governo vietnamita. É provável que as autoridades vietnamitas participem das operações do OceanLotus porque as evidências sugerem que as metas de suas campanhas geralmente parecem estar perseguindo fins políticos. Especialistas em segurança cibernética chegaram a essa conclusão apenas olhando para as vítimas do OceanLotus - dissidentes, jornalistas, governos estrangeiros, organizações de direitos humanos, empresas estrangeiras que estão se envolvendo nas indústrias vietnamitas, etc.
Uma das ferramentas do poderoso arsenal do OceanLotus é o SOUNDBITE. Essa ameaça foi detectada em pelo menos duas grandes campanhas em 2016. Uma foi realizada contra uma empresa de produtos de consumo localizada nas Filipinas. Essa campanha também incluiu várias outras ferramentas que o APT32 possui - BEACON, WINDSHIELD e KOMPROGO. No mesmo ano, outro ataque da OceanLotus foi identificado, desta vez nos Estados Unidos. A corporação visada estava no mesmo campo que a das Filipinas e as ferramentas de hacking empregadas eram as mesmas, mas em vez do KOMPOROGO, os hackers vietnamitas usaram o PHOREAL. Essas ferramentas são conhecidas como cargas de malware de assinatura do OceanLotus. Está sendo especulado que o APT32 pode estar de posse de backdoors, que também podem se infiltrar nas máquinas que usam o macOS.
Os invasores preferem que o protocolo DNS se comunique com o servidor de Comando & Controle, em vez de confiar nos canais de comunicação HTTP e FTTP típicos. O SOUNDBITE é capaz de carregar arquivos no sistema comprometido e executá-los remotamente. Esse backdoor também pode permitir que os invasores executem comandos do PowerShell no computador infiltrado. Entre os outros recursos do SOUNDBITE está receber informações sobre os diretórios, arquivos e janelas de programas atualmente no computador da vítima. Também pode modificar o Registro do Windows.
O APT32 inclui uma impressionante variedade de ferramentas de hacking, e parece que quem quer que as financie está garantindo que elas possam competir com os APTs de primeira linha, tais como o russo Turla APT e o norte-coreano Lazarus APT. Acredita-se que ambos sejam apoiados pelos seus governos, e parece que a competição ininterrupta entre estados-nação também é levada a cabo no mundo da guerra cibernética. O crescente número de grupos de hackers com links governamentais enfatiza a importância de praticar as políticas mais recentes de segurança cibernética.
