Autor: Lucian Constantin, IDG News Service

Os hackers que atacaram o Twitter, Facebook, Apple e Microsoft há dois anos têm aumentado os seus esforços de espionagem a medida que buscam informações confidenciais e propriedade intelectual de grandes companhias com as quais possam lucrar.

O grupo, chamado de Wild Neutron ou Morpho pelos pesquisadores de segurança da  Kaspersky Lab e Symantec, invadiu redes de mais de 45 grandes companhias desde 2012.

Após os ataques de 2013 terem sido amplamente noticiados, o grupo suspende temporariamente suas atividades. Entretanto, os ataques recomeçaram em 2014 e, desde então, intensificaram-se, apontou relatórios divulgados pela Kaspersky Lab e Symantec.

Desde 2012, segundo a Symantec, 49 empresas em 20 países foram vítimas do grupo. A maioria delas eram do setores de tecnologia, farmacêutico, commodities e setores legais com base nos Estados Unidos, Canadá e Europa.

Já a Kaspersky identificou que companhias envolvidas com bitcoin, investimentos, saúde, mercado imobiliário, empresas de fusão e aquisição de negócios e usuários finais também foram alvo do Morpho.

A ausência de vítimas no governo ou mesmo órgãos diplomáticos leva a crer que o grupo não é incentivado por um Estado. Em vez disso, os hackers provavelmente sabem como explorar informações obtidas com as invasões para depois vendê-las para o maior lance.

O grupo usou, pelo menos, duas falhas, uma delas para Flash Player e outra para Java. Da mesma forma, também teve acesso a certificados digitais roubados da Acer e usados para assinar programas maliciosos. Isso sugere que os hackers têm acesso a ferramentas e técnicas sofisticadas de invasão.

Quando teve como alvo desenvolvedores de tecnologia e empresas de Internet em 2013, o grupo lançou seu ataque a partir de um fórum de desenvolvimento usando uma falha do tipo Zero-Day no Java. Esta técnica que compromete um site que é visitado por vários alvos é chamado de Watering Hole attack.

No mesmo ano, o Morpho usou o mesmo método em diversos fóruns de discussão, incluindo os expatforum.com, forum.samdroid.net, emiratesmac,com, mygsmindia.com, disseram pesquisadores da Kaspersky no blog da companhia.

Já o vetor dos ataques de 2014 e 2015 ainda não é conhecido, mas há indicações de que uma falha “web-based” encontrada no Flash Player foi usada.

Se bem sucedidas, essas falhas conseguem instalar um recurso backdoor personalizado. Em seguida, os agressores usam ferramentas de hacking para se moverem lateralmente através da rede e, assim, comprometer outros computadores, servidores e outros dispositivos.

De acordo com os pesquisadores da Symantec, os hackers do Morpho têm como alvo geralmente escritórios regionais de suas vítimas em potencial e depois passam para as redes internas para acessar localizações e sedes adicionais.

O grupo parece ser bem informado sobre as empresas que ataquem e as informações pelas quais buscam. “Em muito dos ataques, o grupo teve sucesso em comprometer o Microsoft Exchange ou Lotus Domino, servidores de e-mail a fim de interceptar e-mails da empresa e, possivelmente, usá-los para enviar mensagens falsificadas”, disseram os pesquisadores da Symantec em um post no blog da companhia.

Ainda não está claro onde o grupo está baseado. De acordo com a Symantec, nem todos os membros do grupo são fluentes em inglês, algo que se vê no código do malware.

Picos de atividade foram observados em servidores de comando e controle do malware que correspondem com a carga de horário de trabalho nos Estados Unidos. Isto poderia significar que alguns dos hackers vivem nos EUA, mas também pode indicar que a maioria das vítimas são dos EUA e Canadá, forçando o grupo a trabalhar durante esse intervalo de tempo.

“O Morpho é um grupo disciplinado e tecnicamente capaz com um alto nível de segurança operacional”, disseram os pesquisadores da Symantec. “Tendo conseguido aumentar o seu nível de atividade ao longo dos últimos três anos, mantendo um perfil baixo, o grupo representa uma ameaça que deve ser levada a sério pelas corporações. ”

Fonte: IDG NOW