Blue Termite: uma campanha de ciberespionagem sofisticada dirigida a organizações japonesas Lisboa, 3 de Setembro de 2015 A lista de indústrias alvo inclui organizações não-governamentais, indústria pesada, química, sector financeiro e meios de comunicação, segundo a Kaspersky Lab Após a infecção bem-sucedida, é implantado no equipamento escolhido um sofisticado backdoor capaz de roubar passwords, descarregar e executar a carga útil adicional, recuperar ficheiros, etc. A equipa de peritos GREAT da Kaspersky Lab descobriu a Blue Termite - uma campanha de ciberespionagem dirigida a centenas de organizações no Japão durante pelo menos dois anos. Os ciberatacantes procuravam informação confidencial e utilizavam um exploit zero-day no Flash Player e um sofisticado backdoor que era personalizado para cada vítima. Esta é a primeira campanha descoberta pela Kaspersky Lab que se centra de forma exclusiva em alvos japoneses e continua activa. Em Outubro de 2014, os analistas da Kaspersky Lab encontraram uma amostra de malware nunca antes vista, que se destacava entre as demais devido à sua complexidade. Uma análise mais detalhada demonstrou que esta amostra era só uma pequena parte de uma campanha de ciberespionagem grande e sofisticada. A lista de alvos inclui organizações não-governamentais, indústria pesada, química, sector financeiro, meios de comunicação, organizações educativas, do sector da saúde, indústria alimentar, entre outros. Diversas técnicas de infecção Para infectar as suas vítimas, a Blue Termite utiliza várias técnicas. Antes de Julho de 2015, para a maioria dos ataques era utilizada a técnica de spear-phishing– envio de software malicioso como ficheiro anexo a mensagens de email com conteúdo atractivo para a vítima. No entanto, em Julho mudaram de táctica e começaram a difundir malware através de um exploit Flash zero-day (CVE2015-5119, o exploit que foi libertado na sequência do incidente da Hacking Team no início deste Verão). Os cibercriminosos comprometeram vários websites japoneses e os visitantes desses sites descarregavam automaticamente um exploit que infectava o equipamento. Esta técnica é conhecida pelo nome drive-by-download. A implementação de um exploit zero-day deu lugar a um aumento significativo na taxa de infecção registada pelos sistemas de detecção da Kaspersky Lab em meados de Julho. Um dos websites comprometidos, pertencente a um membro do governo japonês, continha um script malicioso que filtrava os visitantes de acordo com os endereços IP, para centrar-se nos que entravam a partir do IP de uma organização japonesa concreta. Por outras palavras, só os utilizadores escolhidos a dedo recebiam a carga maliciosa. Infecções da Blue Termite em 2014-2015 Malware exclusivo e artefactos lingüísticos Após a infecção bem-sucedida, é implantado no equipamento um sofisticado backdoor capaz de roubar passwords, descarregar e executar a carga útil adicional, recuperar ficheiros, etc. Uma das coisas mais interessantes da Blue Termite é que dá a cada vítima uma amostra de malware único, criada para ser executada num PC específico. De acordo com os investigadores da Kaspersky Lab, isto foi feito assim para dificultar a análise do malware e sua detecção. A pregunta sobre quem estará por detrás deste ataque continua sem resposta. Como é costume, a atribuição da autoria dos ataques é uma tarefa muito complicada quando se trata de ciberataques sofisticados. No entanto, os analistas da Kaspersky Lab conseguiram recolher algumas amostras de linguagem. Em particular, a interface gráfica de utilizador do servidor de comando e controlo, assim como alguns documentos técnicos relacionados com o malware utilizado na operação, estão escritos em chinês. Isto pode significar que os autores falam este idioma. Assim que os analistas da Kaspersky Lab reuniram suficiente informação para confirmar que a Blue Termite é uma campanha de ciberespionagem dirigida a organizações japonesas, representantes da empresa informaram as agências policiais locais sobre estas descobertas. Como a operação ainda está em curso, a investigação da Kaspersky Lab também prossegue. "Embora a Blue Termite não seja a primeira campanha de ciberespionagem que ataca a Japão, é na verdade a primeira campanha conhecida pela Kaspersky Lab que se centra estritamente em alvos japoneses. Desde o início de Junho, quando o Serviço de Pensões do país foi informado sobre o ciberataque, diversas organizações japonesas começaram a implementar medidas de protecção. No entanto, os ciberatacantes, devem ter mantido uma estreita vigilância sobre eles e começaram a utilizar novos métodos de ataque que ampliaram com êxito o seu impacto", conta Vicente Díaz, analista principal da Kaspersky Lab. Com o objectivo de reduzir o risco de ser infectado por uma campanha de ciberespionagem, os analistas da Kaspersky Lab recomendam que se sigam as seguintes medidas: • Manter actualizado o software, especialmente software que é muito utilizado, já que é normalmente o mais explorado pelos cibercriminosos • Se sabe que existem vulnerabilidades no software do dispositivo, mas não existem correcções para as mesmas, evite o uso desse software • Suspeite de mensagens de email com ficheiros anexos • Use uma solução anti-malware Os produtos da Kaspersky Lab detectam com êxito e bloqueiam o malware com os seguintes nomes de detecção: o Backdoor.Win32.Emdivi. * o Backdoor.Win64.Agent. * o Exploit.SWF.Agent. * o HEUR: Backdoor.Win32.Generic o HEUR: Exploit.SWF.Agent.gen o HEUR: Trojan.Win32.Generic o Trojan-Downloader.Win32.Agent. * o Trojan-Dropper.Win32.Agent. * Mais informações sobre a campanha de ciberespionagem Blue Termite em Securelist.com https://securelist.com/blog/research/71876/new-activity-of-the-blue-termite-apt/ Mais informação sobre outras operações de ciberespionagem que se dirigem ou já se dirigiram ao Japão no passado aqui: https://apt.securelist.com/#secondPage/countriesdata=39 http://www.youtube.com/watch?v=FzPYGRO9LsA Sobre a Kaspersky Lab Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4 maiores fabricantes de soluções de segurança endpoint do mundo*. Ao longo dos seus mais de 15 anos de história, a Kaspersky Lab continuou sempre a inovar em segurança TI e oferece soluções de segurança eficazes para grandes empresas, PMES e consumidores. Actualmente, a Kaspersky Lab opera em quase 200 países e territórios de todo mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt. A empresa situa-se na quarta posição do Ranking Mundial de Fabricantes de Segurança Endpoint (por receitas) da IDC em 2011. Esta classificação foi publicada no relatório de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012)”. O relatório classifica os fabricantes de software de acordo com as receitas obtidas com a venda de soluções de segurança endpoint em 2011. Para mais informação, contactar: LANÇA PALAVRA Ana Paula Tel. +351 243107197 Mov: +351 962543653 E-mail: [email protected] Kaspersky Lab Iberia Vanessa González Directora de Comunicação Tel. +34 91 398 37 52 E-mail [email protected] © A informação contida no presente comunicado pode ser modificada sem aviso prévio. As únicas garantias dos produtos e serviços da Kaspersky Lab ficam estabelecidos doravante nas declarações de garantia expressa que acompanham esses produtos e serviços. Nenhum dos conteúdos da presente poderá ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza pelos erros técnicos ou editoriais ou omissões presentes no texto.