FireEye encontra campanhas de ciberespionagem Gh0stRAT continuam

Uma conhecida ferramenta de espionagem cibernética chamada Gh0st RAT ainda está sendo empregada em ataques furtivos de malware, segundo um novo relatório da firma de segurança FireEye.

FireEye, especializada em detecção de malware dados coletados de centenas de seus clientes durante 2012. Ele analisou 12 milhões de relatórios diferentes de atividade suspeita, cerca de 2.000 dos quais foram classificados como “ameaças persistentes avançadas” (APTs), o termo da indústria de segurança para sofisticados, difíceis de detectar ataques que visam a infiltração a longo prazo de organizações.

A maioria desses 2.000 incidentes empregou Gh0st RAT, uma ferramenta de acesso remoto que se acredita ter sido desenvolvida na China e que permite que invasores roubem. informações dos computadores da vítima. Em 2009, pesquisadores do Information Warfare Monitor, um projeto de pesquisa em segurança de computadores e da Universidade de Toronto relataram uma extensa campanha de espionagem eletrônica usando o Gh0st RAT que visava mais de 1.000 computadores em 103 países.

[Outras leituras: Como remover malware do seu PC Windows]

Gh0st RAT é “uma parte importante de muitos tipos de campanhas APT, porque é uma ferramenta eficaz”, disse Rob Rachwald, diretor sênior de pesquisa de mercado da FireEye.

O relatório da FireEye examina amplamente como os invasores extraem informações das vítimas e controlam seus malwares em computadores infectados ou atividade de "retorno de chamada". Seus dados de 2012 mostram que os atacantes estão usando servidores de comando e controle para fornecer instruções para malware em 184 países agora, um aumento de 42% em relação a 2010.

A Coréia do Sul tem uma concentração de atividade de retorno. Os servidores de empresas de tecnologia tendem a ser alvo de hackers para se comunicarem com suas máquinas infectadas. "Acredito que o fato de terem sido tradicionalmente uma das nações mais conectadas do mundo é provavelmente outro fator para isso", disse Rachwald.

O relatório da FireEye diz que "em certo sentido, a Coreia do Sul é atormentada por RATs" ferramentas de acesso]. É claro a partir dos dados de 2012 que a Coréia do Sul é um dos principais destinos de callback do mundo e que algumas das atividades de retorno do país estão associadas a ataques mais direcionados. ”

Hackers também estavam inserindo informações roubadas em arquivos de imagem JPEG Para que os dados pareçam mais parecidos com o tráfego normal. O malware também usou sites de redes sociais como Twitter e Facebook para colocar instruções para máquinas infectadas, disse a FireEye.

A empresa notou outras mudanças no comportamento dos hackers. Geralmente, os servidores de comando e controle estavam localizados em um país diferente da vítima. Agora eles estão localizando a infra-estrutura de comando no mesmo país para fazer o tráfego parecer normal.

Mas, para alguns países, os hackers não se incomodavam com os servidores de controle no país de destino. Tanto o Canadá quanto o Reino Unido tiveram altos percentuais de tráfego de retorno indo para o exterior. Atacantes talvez não fizessem isso naqueles países porque "sabiam que não seriam detectados", disse Rachwald.