Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Bilhete dourado para espionagem industrial: O grupo APT assume a infra-estrutura informática

Bilhete dourado para espionagem industrial: O grupo APT assume a infra-estrutura informática
Share it:
Kaspersky ICS CERT detetou uma onda de ataques direcionados a empresas e instituições públicas do complexo militar-industrial em varios países da Europa de Leste e no Afeganistão. Os cibercriminosos conseguiram assumir o controlo de toda a infra-estrutura informática das vítimas - para fins de espionagem industrial.
Em Janeiro de 2022, investigadores da Kaspersky testemunharam vários ataques avançados a empresas militares e organizações públicas. O principal objectivo dos ataques era aceder à informação privada das empresas e ganhar controlo sobre os sistemas informáticos. O malware que está a ser utilizado pelos atacantes é semelhante ao utilizado pelo TA428 APT, um grupo de língua chinesa do APT.

Contratar uma equipa profissional. Se suspeitar que onde estiver hospedado durante um período de tempo pode ter câmaras, a coisa mais segura a fazer é contratar uma equipa de peritos. Há pessoas que fazem isto em quase toda as cidades, e pode encontrá-las na Craigslist e noutros websites. As vantagens desta opção são sem dúvida a eficiência e confiança do profissionalismo no caso de ter suspeitas claras de que possa haver uma câmara no seu alojamento.

Já seguiu um destes métodos e encontrou uma câmara escondida - o que deve fazer? Os peritos Kaspersky recomendam tirar uma fotografia e fazer uma pesquisa de imagem, porque pode não ser o que se pensa que é. Se as suas suspeitas forem confirmadas, deve dirigir-se à polícia. As regras de sites como o AirBnB proíbem explicitamente as câmaras ocultas, pelo que poderá ser capaz de recuperar o seu dinheiro e ser realojado noutro local

Os atacantes infiltram-se nas redes empresariais enviando e-mails de phishing cuidadosamente elaborados, alguns dos quais contêm informações específicas da sua organização que não foram tornadas públicas no momento em que os e-mails foram enviados. Isto indica que os atacantes se preparam deliberadamente para os ataques e seleccionam os seus alvos com antecedência. As mensagens de phishing incluem um documento Microsoft Word com código malicioso para explorar uma vulnerabilidade que permite a um atacante executar um código arbitrário sem qualquer actividade adicional. A vulnerabilidade existe em versões desactualizadas do Microsoft Equation Editor, um componente do Microsoft Office.

Fragmento do conteúdo de um documento malicioso

Além disso, os atacantes utilizaram seis backdoors diferentes ao mesmo tempo - para criar canais de comunicação adicionais com sistemas infectados no caso de um dos programas maliciosos ser detetado e removido por uma solução de segurança. Estes backdoors oferecem amplas funcionalidades para o controlo de sistemas infectados e para a recolha de dados confidenciais.

A fase final do ataque envolve o desvio do controlador do domínio e a obtenção do controlo completo de todas as estações de trabalho e servidores da organização - e, num dos casos, até assumiram o controlo do centro de controlo de soluções de segurança cibernética. Após terem obtido privilégios de administrador do domínio e acesso ao Active Directory, os atacantes executaram o ataque de "bilhete dourado" para se fazerem passar por organizações que se fazem passar por contas de utilizadores arbitrárias e pesquisar documentos e outros ficheiros, contendo os dados sensíveis da organização atacada, que exfiltravam para os servidores dos atacantes alojados em diferentes países.

"Os ataques Golden Ticket tiram partido do protocolo de autenticação padrão que tem sido utilizado desde a disponibilidade do Windows 2000. Ao forjar bilhetes Kerberos Ticket Granting Tickets (TGTs) dentro da rede corporativa, os atacantes podem aceder independentemente a qualquer serviço que pertença à rede por um tempo ilimitado. Como resultado, a simples troca de palavras-passe ou o bloqueio de contas comprometidas não será suficiente. O nosso conselho é verificar cuidadosamente toda as actividades suspeitas e confiar em soluções de segurança fiáveis", comenta Vyacheslav Kopeytsev, especialista em segurança da ICS CERT Kaspersky.

Saiba mais sobre estes ataques direccionados na Kaspersky ICS CERT

Para manter os seus computadores ICS protegidos de várias ameaças, os peritos Kaspersky recomendam empresas:
  • Actualizar regularmente sistemas operativos e software de aplicação que fazem parte da rede da empresa. Aplicar correcções e correcções de segurança ao equipamento informático e de rede OT, logo que estes estejam disponíveis.
  • Realizar auditorías regulares de segurança dos sistemas informáticos e OT para identificar e eliminar possíveis vulnerabilidades.
  • Utilizar soluções de monitorização, análise e detecção de tráfego de rede ICS para uma melhor proteção contra ataques que ameacem potencialmente os processos tecnológicos e os principais activos da empresa.
  • Pôr em prática uma formação dedicada à segurança para equipas de segurança informática e engenheiros OT, para melhorar a resposta a novas e avançadas técnicas maliciosas
  • Fornecer à equipa de segurança responsável pela proteção dos sistemas de controlo industrial informações atualizadas sobre ameaças. O nosso serviço ICS Threat Intelligence Reporting fornece informações sobre ameaças e vetores de ataque atuais, bem como os elementos mais vulneráveis nos OT e sistemas de controlo industrial e como mitigá-los
  • Utilizar soluções de segurança para terminais e redes OT, tais como Kaspersky Industrial CyberSecurity, para assegurar uma proteção abrangente para todos os sistemas críticos da indústria
  • Proteger também a infra-estrutura informática; não é menos importante. A Integrated Endpoint Security protege os pontos finais corporativos e permite a deteção automática de ameaças e capacidades de resposta
Share it:

info

Post A Comment:

0 comments: