Language
Novo grupo de espionagem visa telecomunicações em 'precisão
LarLar > blog > Novo grupo de espionagem visa telecomunicações em 'precisão
ÚLTIMAS NOTÍCIAS

Novo grupo de espionagem visa telecomunicações em 'precisão

Apr 29, 2023

Um agente de ameaça anteriormente desconhecido está visando empresas de telecomunicações no Oriente Médio no que parece ser uma campanha de espionagem cibernética semelhante a muitas que atingiram organizações de telecomunicações em vários países nos últimos anos.

Pesquisadores da SentinelOne que detectaram a nova campanha disseram que a estão rastreando como WIP26, uma designação que a empresa usa para atividades que não foi capaz de atribuir a nenhum grupo de ataque cibernético específico.

Em um relatório desta semana, eles observaram que observaram o WIP26 usando infraestrutura de nuvem pública para entregar malware e armazenar dados exfiltrados, bem como para fins de comando e controle (C2). O fornecedor de segurança avaliou que o agente da ameaça está usando a tática – como muitos outros fazem hoje em dia – para evitar a detecção e tornar sua atividade mais difícil de detectar em redes comprometidas.

“A atividade WIP26 é um exemplo relevante de agentes de ameaças inovando continuamente seus TTPs [táticas, técnicas e procedimentos] na tentativa de permanecer furtivo e contornar as defesas”, disse a empresa.

Os ataques observados pelo SentinelOne geralmente começavam com mensagens do WhatsApp direcionadas a indivíduos específicos dentro de empresas de telecomunicações alvo no Oriente Médio. As mensagens continham um link para um arquivo no Dropbox que pretendia conter documentos sobre temas relacionados à pobreza pertinentes à região. Mas, na realidade, também incluía um carregador de malware.

Os usuários induzidos a clicar no link acabaram tendo dois backdoors instalados em seus dispositivos. SentinelOne encontrou um deles, rastreado como CMD365, usando um cliente Microsoft 365 Mail como seu C2, e o segundo backdoor, apelidado de CMDEmber, usando uma instância do Google Firebase para o mesmo propósito.

O fornecedor de segurança descreveu o WIP26 como usando backdoors para conduzir reconhecimento, elevar privilégios, implantar malware adicional – e roubar dados do navegador privado do usuário, informações sobre sistemas de alto valor na rede da vítima e outros dados. O SentinelOne avaliou que muitos dos dados que os dois backdoors coletaram dos sistemas e da rede das vítimas sugerem que o invasor está se preparando para um ataque futuro.

“O vetor de intrusão inicial que observamos envolvia segmentação de precisão”, disse SentinelOne. “Além disso, o alvo de provedores de telecomunicações no Oriente Médio sugere que o motivo por trás dessa atividade está relacionado à espionagem”.

O WIP26 é um dos muitos agentes de ameaças que visaram empresas de telecomunicações nos últimos anos. Alguns dos exemplos mais recentes – como uma série de ataques a empresas australianas de telecomunicações, como Optus, Telestra e Dialog – foram motivados financeiramente. Especialistas em segurança apontaram esses ataques como um sinal de maior interesse em empresas de telecomunicações entre cibercriminosos que buscam roubar dados de clientes ou seqüestrar dispositivos móveis por meio dos chamados esquemas de troca de SIM.

Mais frequentemente, porém, a ciberespionagem e a vigilância têm sido as principais motivações para ataques a provedores de telecomunicações. Os fornecedores de segurança relataram várias campanhas em que grupos avançados de ameaças persistentes de países como China, Turquia e Irã invadiram a rede de um provedor de comunicação para espionar indivíduos e grupos de interesse de seus respectivos governos.

Um exemplo é a Operação Soft Cell, em que um grupo com sede na China invadiu as redes das principais empresas de telecomunicações em todo o mundo para roubar registros de dados de chamadas para que pudessem rastrear indivíduos específicos. Em outra campanha, um agente de ameaças rastreado como Light Basin roubou a Mobile Subscriber Identity (IMSI) e metadados das redes de 13 grandes operadoras. Como parte da campanha, o agente da ameaça instalou malware nas redes das operadoras que permitiam interceptar chamadas, mensagens de texto e registros de chamadas de indivíduos visados.