Hackers lançam ataques à cadeia de fornecimento de IT

Os cibercriminosos usam uma combinação de malware típico e malware “off the shelf” mas não há, para já, suspeita de ligação a espionagem ou “patrocínio” governamental.

O Tortoiseshell está ativo há mais de um ano e os investigadores da empresa Symantec creem que o grupo atacou 11 organizações de IT, a maioria baseada na Arábia Saudita. A empresa de segurança refere ainda que os atacantes obtiveram acesso ao nível de administrador em pelo menos duas organizações.

Já em julho de 2019, a atividade do grupo foi registada como Backdoor .Syskit. Este malware é criado nas linguagens de programação Delphi e .NET e abre um backdoor inicial para computadores comprometidos, permitindo que os atacantes recolham informações como o endereço IP, o sistema operativo e o nome do computador. O Syskit também pode fazer download e executar ferramentas e comandos adicionais.

Os investigadores sugerem que o malware pode ser distribuído por um servidor web comprometido. Acredita-se que o grupo ainda esteja ativo e as empresas afetadas estão a trabalhar com a Symantec para proteger as suas redes.

"Comprometer um servidor web, com uma provável exploração antiga, pode ser uma abordagem mais simples do que utilizar um email. A alternativa de utilizar um email de phishing para comprometer a vítima geralmente exige que o invasor tivesse pelo menos algum conhecimento sobre o destinatário do email para personalizar o email para esse indivíduo", explicou Gavin O'Gorman, investigador da equipa de resposta de segurança da Symantec, à ZDNet.

Com a campanha focada nas empresas de IT, os investigadores acreditam que estes ataques são a primeira fase de um ataque ao Canal e os hackers procuram comprometer os fornecedores como um trampolim para as redes dos seus clientes.