TetrisPhantom: Espionagem Cibernética via USBs Seguros Tem como Alvo Governos da APAC
19 de Outubro de 2023

Entidades governamentais na região da Ásia-Pacífico (APAC) são o alvo de uma longa campanha de espionagem cibernética chamada TetrisPhantom.

"O invasor espionou secretamente e colheu dados sensíveis de entidades governamentais da APAC explorando um tipo específico de drive USB seguro, protegido por criptografia de hardware para garantir o armazenamento e a transferência segura de dados entre sistemas de computador", disse a Kaspersky em seu relatório de tendências APT para o terceiro trimestre de 2023.

A empresa russa de segurança cibernética, que detectou a atividade contínua no início de 2023, disse que os drives USB oferecem criptografia de hardware e são utilizados por organizações governamentais em todo o mundo para armazenar e transferir dados de forma segura, aumentando a possibilidade de que os ataques se expandam no futuro para ter um alcance global.

O conjunto de intrusões clandestinas ainda não foi vinculado a nenhum ator ou grupo de ameaças conhecido, mas o alto grau de sofisticação da campanha aponta para uma equipe de estado-nação.

"Essas operações foram conduzidas por um ator de ameaça altamente qualificado e engenhoso, com um grande interesse em atividades de espionagem dentro de redes governamentais sensíveis e protegidas", disse Noushin Shabab, pesquisadora sênior de segurança da Kaspersky.

"Os ataques foram extremamente direcionados e tiveram um número bastante limitado de vítimas."
Uma característica importante da campanha é o uso de vários módulos maliciosos para executar comandos e coletar arquivos e informações de máquinas comprometidas e propagar a infecção para outras máquinas usando o mesmo ou outros drives USB seguros como vetor.

Os componentes do malware, além de se autoreplicar por meio de drives USB seguros conectados para violar redes isoladas, também são capazes de executar outros arquivos maliciosos nos sistemas infectados.

"O ataque compreende ferramentas e técnicas sofisticadas," disse a Kaspersky, acrescentando que as sequências de ataque também incluíram a "injeção de código em um programa legítimo de gerenciamento de acesso no drive USB que atua como um carregador para o malware em uma nova máquina."

A divulgação ocorre quando um novo e desconhecido ator de ameaças persistentes avançadas (APT) foi vinculado a um conjunto de ataques visando entidades governamentais, empreiteiros militares, universidades e hospitais na Rússia por meio de emails de spear-phishing contendo documentos do Microsoft Office armadilhados.

"Isto inicia um esquema de infecção de vários níveis levando à instalação de um novo trojan, que é projetado principalmente para infiltrar arquivos da máquina da vítima e assumir o controle executando comandos arbitrários", disse a Kaspersky.

Os ataques, apelidados de BadRory pela empresa, ocorreram em duas ondas - uma em outubro de 2022, seguida por uma segunda em abril de 2023.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...