São Paulo — InkDesign News — Um incidente cibernético significativo ocorreu com o comprometimento de dados de um operador de APT (Advanced Persistent Threat) que supostamente atua em nome da China e, possivelmente, da Coreia do Norte. O vazamento de informações foi analisado na edição mais recente da revista Phrack, disponível na conferência DEF CON em Las Vegas.
Vetor de ataque
Os hackers, identificados como Saber e cyb0rg, conseguiram comprometer uma estação de trabalho virtual e um servidor privado virtual (VPS) utilizados por um ator de APT. Entre os dados extraídos, foram encontrados logs de ataques direcionados ao governo sul-coreano, ferramentas de ataque, documentação interna e credenciais da estação de trabalho.
Impacto e resposta
Essa divulgação de dados é crucial para a compreensão operacional de atores estatais alinhados à China e revela a profundidade de suas operações, como o número de alvos comprometidos. Fyodor Yarochkin, analista da Trend Micro, declarou:
“Esta divulgação de dados é muito importante para entender operações de atores de ameaças estatais.”
(“This data disclosure is very important from the point of understanding state-aligned threat actor operations.”)— Fyodor Yarochkin, Pesquisador Sênior, Trend Micro
O vazamento inclui um conjunto de ferramentas e técnicas de ataque que podem potencialmente ser utilizadas contra alvos globais.
Análise e recomendações
A análise dos dados indica características que poderiam associar o operador ao grupo Kimsuky, mas também apresenta evidências que sugerem uma ligação mais forte com grupos de APT chineses. O conteúdo coletado pode melhorar a capacidade de detecção de ataques provenientes de grupos de APT, permitindo que empresas de segurança cibernética desenvolvam melhor suas defesas contra tais ameaças. Charles Li, chefe de análise da TeamT5, destacou a importância da descoberta, afirmando que a informação pode ser usada para pivotar e buscar mais detalhes sobre os hackers.
“Isso é um trabalho impressionante.”
(“This is an impressive work.”)— Charles Li, Analista Chefe, TeamT5
O vazamento dos dados provavelmente terá um impacto duradouro sobre as operações de segurança cibernética, aumentando a vigilância sobre as capacidades de espionagem da China. A expectativa é que novas atualizações sejam lançadas nos próximos meses, oferecendo uma visão ainda mais clara sobre as táticas usadas por esses grupos.
Fonte: (Dark Reading – Segurança Cibernética)
