O Governo dos EUA Alerta sobre o Novo Ataque Cibernético 'Hidden Cobra' Iniciado pela Coréia do Norte
As autoridades do governo norte-americano alertaram nesta semana que o grupo norte-coreano APT, Hidden Cobra, lançou outro ataque cibernético perigoso, usando uma nova forma de malware. De acordo com a Equipe de Prontidão de Emergência do Computador dos EUA (US-CERT), o novo malware tem como alvo vítimas de alto perfil, tais como grandes empresas nos EUA e no mundo, onde a nova ameaça não é menos poderosa do que os ataques anteriormente conhecidos realizados sob a campanha do Hidden Cobra nos últimos anos. Os criminosos por trás desses ataques estão tentando extrair informações confidenciais e sobre os proprietários. No entanto, as ferramentas maliciosas distribuídas por eles também podem interromper as operações regulares das máquinas infectadas e desabilitar arquivos.
Apelidado de Typeframe, o novo malware detectado pelo Departamento de Segurança Interna (DHS) tem praticamente as mesmas funcionalidades das outras ameaças implementada anteriormente por esse grupo de hackers. Ou seja, o Typeframe pode mudar as regras do firewall, o download e a execução de cargas adicionais e esperar por instruções de um servidor de controle remoto. De acordo com o relatório emitido pelo DHS, 11 amostras diferentes desse malware foram descobertas e consistem em arquivos executáveis do Windows de 32 e 64 bits. Entre os itens descobertos também está um documento do Microsoft Word contendo macros que servem para a implantação do malware nas máquinas visadas.
Duas famílias de malware foram atribuídas ao grupo Hidden Cobra no passado pelas autoridades dos EUA - uma Ferramenta de Acesso Remoto (FAR) chamada Joanap, e um Servidor de Bloqueio de Mensagem Block (SBM), apelidado de Brambul.
Pesquisas conjuntas realizadas pelo DHS e pelo FBI mostraram que os endereços de IP e outros indicadores de comprometimento dessas duas ameaças anteriores apontam para malwares tipicamente desenvolvidos pelo governo da Coréia do Norte. De acordo com um alerta divulgado no final de maio deste ano, as duas campanhas estão ativas desde pelo menos 2009, e as suas atividades consistiram principalmente no rastreamento dos computadores infectados em todo o mundo. As vítimas dessa espionagem cibernética vêm de vários setores da economia, tais como infraestrutura, mídia, financeiro, aeroespacial e muitos outros. Entre os países afetados pelas violações estão Bélgica, China, Arábia Saudita, Espanha, Suécia, Argentina e Taiwan.
Os especialistas alertam que esse tipo de malware infecta os sistemas sem aviso prévio aos seus usuários e proprietários, e se o aplicativo malicioso conseguir proteger sua permanência nas máquinas afetadas, ele pode se mover por toda a rede e infectar outros dispositivos conectados.