A Crutch foi implementada nos sistemas do ministério europeu dos negócios estrangeiros pelo grupo de hacking Turla
Uma campanha de espionagem cibernética está a visar o Ministério dos Negócios Estrangeiros da União Europeia com a ajuda de uma forma de malware que fornece uma porta de entrada secreta para sistemas Windows comprometidos Os investigadores de cibersegurança na ESET, descobriram ferramentas concebidas para roubar documentos sensíveis e outros ficheiros, filtrando-os secretamente através de contas Dropbox controladas pelos atacantes. Apelidada de Crutch pelos seus desenvolvedores, esta campanha de malware tem estado ativa desde 2015 e os investigadores associam-na ao grupo de hacking Turla e o Centro Nacional de Cibersegurança do Reino Unido (NCSC) atribui esta forma de malware à Rússia. No entanto, a Crutch é implementada depois dos ciberataques já terem comprometido a rede alvo – algo que campanhas semelhantes conseguiram com ataques de phishing. Uma vez que a Crutch é instalada como uma porta traseira no sistema-alvo, comunica-se com uma conta Dropbox codificada utilizada para recuperar ficheiros enquanto permanece sob o radar uma vez que o Dropbox é capaz de se misturar com o tráfego normal de rede. A análise da porta dos fundos indica que foi repetidamente atualizada e alterada ao longo dos anos, de modo a manter a eficácia, mantendo-se também escondida. "A principal atividade maliciosa é a filtração de documentos e de outros ficheiros sensíveis. A sofisticação dos ataques e detalhes técnicos da descoberta fortalecem ainda mais a perceção de que o grupo Turla tem recursos consideráveis para operar um arsenal tão grande e diversificado", afirma Matthieu Faou, investigador de malware da ESET. No entanto, apesar da natureza persistente do ataque pelo que é considerado uma sofisticada operação de hacking, ainda existem algumas medidas de segurança relativamente simples que as organizações podem aplicar para evitar serem vítimas desta ou de muitas outras formas de ciberataque. "Durante esta investigação, percebemos que os atacantes foram capazes de se mover lateralmente e comprometer máquinas adicionais reutilizando senhas de administração", explica Fauo. "Acredito que limitar as possibilidades de movimento lateral tornaria muito mais difícil a vida dos cibercriminosos. Isto significa impedir que os utilizadores possam funcionar como administrador, utilizando dois fatores de autenticação em contas de administração e usando senhas únicas e complexas", conclui. |