{"id":9487,"date":"2018-07-09T18:24:26","date_gmt":"2018-07-09T21:24:26","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=9487"},"modified":"2019-10-14T12:38:24","modified_gmt":"2019-10-14T15:38:24","slug":"conheca-7-dos-grupos-hackers-mais-perigosos-do-mundo","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2018\/07\/novidades\/conheca-7-dos-grupos-hackers-mais-perigosos-do-mundo\/","title":{"rendered":"Conhe\u00e7a 7 dos grupos hackers mais perigosos do mundo"},"content":{"rendered":"

Grupos de cibercriminosos geralmente usam ferramentas de malware personalizadas e propriet\u00e1rias, al\u00e9m de meios sofisticados de ataque<\/strong><\/p>\n

Atualmente, ataques cibern\u00e9ticos cada vez mais sofisticados s\u00e3o criados e aprimorados por grupos de hackers, geralmente usando ferramentas personalizadas direcionadas a pessoas, empresas e at\u00e9 pa\u00edses.<\/p>\n

Ousados \u200b\u200b ataques cibern\u00e9ticos fazem com que caixas eletr\u00f4nicos nas ruas distribuam dinheiro de gra\u00e7a, por exemplo. As a\u00e7\u00f5es s\u00e3o geralmente realizadas por grupos dedicados que trabalham nas sombras dos estados onde s\u00e3o tolerados, encorajados ou at\u00e9 mesmo parte das ferramentas de intelig\u00eancia dos pr\u00f3prios pa\u00edses.<\/p>\n

Muitas vezes misterioso, \u00e9 s\u00f3 gra\u00e7as \u00e0 dedica\u00e7\u00e3o dos pesquisadores de seguran\u00e7a que agora sabemos um pouco sobre como esses grupos operam, detectando ind\u00edcios de quem eles s\u00e3o, onde est\u00e3o baseados, como operam e por qu\u00ea.<\/p>\n

Esses grupos tendem a operar no dom\u00ednio da amea\u00e7a persistente avan\u00e7ada (APT), um termo bastante autoexplicativo para tentativas sofisticadas de invas\u00e3o que est\u00e3o continuamente em andamento, geralmente visando uma pessoa, empresa ou pa\u00eds.<\/p>\n

Os grupos de APT usam variadas estrat\u00e9gias: eles poderiam estar conduzindo espionagem cibern\u00e9tica para informa\u00e7\u00f5es pol\u00edticas ou corporativas (geralmente em ind\u00fastrias sens\u00edveis ou \u00f3rg\u00e3os do setor p\u00fablico), eles poderiam ser patrocinados pelo estado, poderiam ser diretamente uma fun\u00e7\u00e3o de um estado ou ser simplesmente tolerado dentro de um estado. Um grupo APT pode ser motivado financeiramente, envolvendo-se em cibercriminosos complexos, ou eles poderiam simplesmente querer espalhar desinforma\u00e7\u00e3o e caos.<\/p>\n

Os grupos geralmente usam ferramentas de malware personalizadas e propriet\u00e1rias e possuem meios sofisticados de ataque. Muitas vezes, eles executam suas pr\u00f3prias (\u00e0s vezes vastas) infra-estrutura de comando e controle, e deliberadamente dificultam a atribui\u00e7\u00e3o – ou mascarando a localiza\u00e7\u00e3o dos ataques ou como um meio de culpar outro culpado em potencial, em outras palavras, uma opera\u00e7\u00e3o de “bandeira falsa”.<\/p>\n

Os grupos APT s\u00e3o, por natureza, obscuros e misteriosos – mas gra\u00e7as ao trabalho \u00e1rduo de pesquisadores na comunidade infosec, sabemos agora detalhes sobre alguns deles.<\/p>\n

Conhe\u00e7a alguns dos mais perigosos grupos de hackers:<\/p>\n

The Shadow Brokers<\/strong><\/p>\n

Era quase imposs\u00edvel vencer a amea\u00e7a do ransomware WannaCry em 2017. WannaCry e o que era ent\u00e3o uma variante do ransomware Petya, a NotPetya, prejudicavam a infraestrutura e as empresas em todo o mundo.<\/p>\n

Esses ataques foram baseados em uma explora\u00e7\u00e3o desenvolvida internamente pela Ag\u00eancia Nacional de Seguran\u00e7a (NSA) dos EUA, chamada EternalBlue, que explorou o protocolo Server Message Block da Microsoft (decidindo invadir essa explora\u00e7\u00e3o em vez de informar a Microsoft).<\/p>\n

Um grupo chamado The Shadow Brokers obteve os arquivos da NSA em 2013, supostamente extra\u00eddos de um servidor de teste da NSA. Isso inclu\u00eda informa\u00e7\u00f5es sobre todos os tipos de explora\u00e7\u00f5es que a ag\u00eancia de espionagem mantinha.<\/p>\n

O primeiro vazamento publicado do grupo foi em agosto de 2016, um esconderijo de armas cibern\u00e9ticas que ele atribuiu ao ‘Equation Group’ – uma organiza\u00e7\u00e3o que se acredita estar baseada nos EUA, possivelmente por tr\u00e1s do infame c\u00f3digo Stuxnet que destruiu as centr\u00edfugas nucleares do Ir\u00e3. sugeriu tamb\u00e9m ter la\u00e7os com a NSA.<\/p>\n

Quatro vazamentos depois e foi “EternalBlue” – o ataque baseado em SMB em que WannaCry e Petya foram constru\u00eddos, causando mais de 200 mil infec\u00e7\u00f5es em todo o mundo nas primeiras duas semanas de seu lan\u00e7amento. O grupo afirma ter acesso a mais armas e exploits, e anteriormente amea\u00e7ou a libera\u00e7\u00e3o de novos materiais todos os meses.<\/p>\n

Ningu\u00e9m sabe ao certo onde o grupo Shadow Brokers se origina, mas as teorias incluem um insider dentro do grupo “Opera\u00e7\u00f5es de acesso sob medida” da NSA.<\/p>\n

O denunciante da NSA, Edward Snowden, disse que \u201ca sabedoria convencional indica responsabilidade russa\u201d – acrescentando que ele acreditava que os lan\u00e7amentos eram um aviso para os EUA.<\/p>\n

“Este vazamento parece com algu\u00e9m enviando uma mensagem de que uma escalada no jogo de atribui\u00e7\u00e3o pode ficar confusa”, ele twittou.<\/p>\n

Lazarus Group<\/strong><\/p>\n

O misterioso Grupo Lazarus poderia estar por tr\u00e1s do assalto a US$ 81 milh\u00f5es do Banco Central do Bangladesh em 2016. N\u00e3o se sabe muito sobre esta organiza\u00e7\u00e3o, quem est\u00e1 nela ou de onde ela opera, mas o fornecedor de seguran\u00e7a Kaspersky fez com que seus pesquisadores tentassem rastrear o grupo obscuro por mais de um ano.<\/p>\n

Descobriu da “an\u00e1lise forense de artefatos” que o grupo deixou em ataques aos bancos do sudeste asi\u00e1tico e europeus um “profundo entendimento” do grupo e como ele opera – observando que atacou institui\u00e7\u00f5es financeiras, cassinos, desenvolvedores de software e empresas de criptomoeda ao redor do mundo.<\/p>\n

A anatomia t\u00edpica de um ataque de Lazarus, segundo Kaspersky, vem em quatro etapas. O primeiro \u00e9 o comprometimento inicial em que um \u00fanico sistema em um alvo \u00e9 violado com c\u00f3digo remotamente acess\u00edvel ou por meio de uma explora\u00e7\u00e3o plantada em um site. Um funcion\u00e1rio faz o download do malware, permitindo que o grupo coloque outros malwares no sistema comprometido.<\/p>\n

Ent\u00e3o, os hackers do Lazarus migravam para outros hosts do banco e colocavam backdoors por toda a organiza\u00e7\u00e3o. Depois disso, ele realizaria uma miss\u00e3o de reconhecimento para aprender e mapear a rede, sinalizando recursos internos valiosos, como servidores de backup com credenciais ou informa\u00e7\u00f5es de autentica\u00e7\u00e3o armazenadas nela.<\/p>\n

Por fim, o grupo implanta malwares especialmente desenvolvidos para burlar a seguran\u00e7a da v\u00edtima e, em seguida, faz transa\u00e7\u00f5es.<\/p>\n

Ningu\u00e9m sabe ao certo de onde Lazarus opera. No entanto, estudando uma cole\u00e7\u00e3o de amostras de malware, o Kaspersky encontrou uma conex\u00e3o estranha com um servidor de comando e controle – durando apenas um momento – de um endere\u00e7o IP “muito raro” na Coreia do Norte.<\/p>\n

Equation Group<\/strong><\/p>\n

Creditado pela Kaspersky com a duvidosa honra de “criador da coroa da espionagem cibern\u00e9tica”, o Equation Group refere-se \u00e0 sombria Unidade de Opera\u00e7\u00f5es de Acesso Sob Medida da NSA.<\/p>\n

O grupo ficou famoso por ter sido associado ao Stuxnet, um ataque altamente sofisticado (especialmente em sua \u00e9poca) que destruiu com sucesso as centr\u00edfugas nucleares do Ir\u00e3, embora suspeite que a unidade tenha informado o ataque em vez de t\u00ea-lo perpetrado.<\/p>\n

Segundo a Kaspersky, o grupo \u00e9 \u201c\u00fanico em quase todos os aspectos de suas atividades\u201d – usando ferramentas que s\u00e3o extremamente complicadas e caras de desenvolver, bem como exfiltrar dados e ocultar seu trabalho de uma maneira \u201cexcepcionalmente profissional\u201d.<\/p>\n

Como mencionado na entrada do Shadow Brokers – alguns dos ataques cibern\u00e9ticos mais prejudiciais que o mundo j\u00e1 viu se originaram de uma \u00fanica explora\u00e7\u00e3o da NSA. O grupo tem uma extensa biblioteca de trojans que s\u00e3o conhecidos e provavelmente muitos outros que n\u00e3o s\u00e3o.<\/p>\n

E parece usar m\u00e9todos de espionagem mais tradicionais para entrar nos sistemas de v\u00edtimas tamb\u00e9m, em uma inst\u00e2ncia interceptando um CD-ROM que estava sendo enviado aos participantes de uma confer\u00eancia de ci\u00eancias em Houston, e substituindo-o por uma c\u00f3pia que foi infectado com o worm DoubleFantasy do grupo.<\/p>\n

O grupo mant\u00e9m uma grande infraestrutura de servidores de comando e controle, localizada em mais de 100 servidores e 300 dom\u00ednios, incluindo hosts em pa\u00edses como EUA, Reino Unido, Panam\u00e1, Costa Rica, Col\u00f4mbia, Alemanha e Holanda.<\/p>\n

Suas v\u00edtimas parecem ser altamente visadas, incluindo (mas n\u00e3o limitadas a) institui\u00e7\u00f5es governamentais e diplom\u00e1ticas, telecomunica\u00e7\u00f5es, aeroespacial, energia, pesquisa nuclear, petr\u00f3leo e g\u00e1s, militares, nanotecnologia, ativistas e acad\u00eamicos isl\u00e2micos, m\u00eddia, transporte, finan\u00e7as e empresas que trabalham com criptografia.<\/p>\n

Carbanak\/Fin7<\/strong><\/p>\n

Um grupo de c\u00f3digo-fonte chamado Carbanak era procurado por ag\u00eancias de policiamento internacional h\u00e1 pelo menos cinco anos, devido ao sucesso de roubar US$ 1 bilh\u00e3o de uma s\u00e9rie de roubos cibern\u00e9ticos e redes de caixas eletr\u00f4nicos hackeadas.<\/p>\n

Em mar\u00e7o de 2018, a Europol acreditou ter apontado o l\u00edder da not\u00f3ria gangue, ainda sem nome, para prender a figura em Alicante, na Espanha, depois de uma investiga\u00e7\u00e3o internacional conjunta.<\/p>\n

Carbanak (tamb\u00e9m apelidado de Fin7) enviou campanhas de phishing altamente direcionadas – em outras palavras, spear phishing – para enganar os funcion\u00e1rios do banco a fazer o download de malware. Desde o final de 2013, a gangue usou seu pr\u00f3prio tipo de malware, Anunak e Carbanak, e depois utilizou uma vers\u00e3o modificada do software de testes de seguran\u00e7a chamado Cobalt Strike, relata a Fortune.<\/p>\n

Os primeiros alvos foram principalmente na R\u00fassia, mas depois passou para os EUA, Alemanha, China e Ucr\u00e2nia.<\/p>\n

Eles atacaram bancos em mais de 40 pa\u00edses, contabilizando afetivamente um crime de roubo cibern\u00e9tico de uma gangue. O ataque de cobalto modificado permitiu a Carbanak roubar at\u00e9 \u20ac 10 milh\u00f5es por assalto.<\/p>\n

Seus engenhosos hackers de caixa eletr\u00f4nico permitiram que o grupo instru\u00edsse os caixas eletr\u00f4nicos a distribuir moeda sem sequer interagir com o terminal. Este seria ent\u00e3o recolhido por mulas que o transferiram para a rede financeira SWIFT, e da\u00ed para as contas dos atacantes.<\/p>\n

A FireEye observou que o grupo apontou sua campanha de phishing na Comiss\u00e3o de Valores Mobili\u00e1rios dos EUA.<\/p>\n

APT37\/Reaper<\/strong><\/p>\n

De acordo com extensa pesquisa do fornecedor de seguran\u00e7a americano FireEye, uma unidade de espionagem baseada na Coreia do Norte (Advanced Persistent Threat 37 – apelidada de Reaper) aumentou suas opera\u00e7\u00f5es no in\u00edcio de 2018 e continua em miss\u00f5es de reconhecimento visando estados-na\u00e7\u00e3o e organiza\u00e7\u00f5es adjacentes ao estado.<\/p>\n

Em 2017, o grupo teve como alvo uma empresa do Oriente M\u00e9dio que estava trabalhando com a Coreia do Norte em um projeto conjunto para aumentar os servi\u00e7os de telecomunica\u00e7\u00f5es no pa\u00eds. Ele tamb\u00e9m se aperfei\u00e7oou em uma empresa de com\u00e9rcio vietnamita e at\u00e9 em indiv\u00edduos que trabalham em organiza\u00e7\u00f5es ol\u00edmpicas.<\/p>\n

A FireEye afirma que, al\u00e9m das opera\u00e7\u00f5es de espionagem baseadas no estado-na\u00e7\u00e3o, tamb\u00e9m tem como alvo desertores da RPDC, sugerindo que est\u00e1 estreitamente afiliada ao pa\u00eds.<\/p>\n

Os invasores “Reaper” usaram vulnerabilidades no processador de texto Hangul, que \u00e9 amplamente usado na RoK – Coreia do Sul. Al\u00e9m disso, ele tinha um cache de zero dias e os usava em spear phishing e “opera\u00e7\u00f5es de comprometimento da Web”, de acordo com a FireEye.<\/p>\n

A infraestrutura de comando e controle fez uso de servidores comprometidos, bem como provedores de servi\u00e7os em nuvem, para atribui\u00e7\u00e3o indecorosa e evitar a detec\u00e7\u00e3o, e tamb\u00e9m colocou cargas de malware em sites comprometidos, por\u00e9m leg\u00edtimos. As contas de e-mail usadas para aproveitar os ataques evolu\u00edram de dom\u00ednios associados \u00e0 Coreia do Sul para outros provedores, como o Gmail, e servi\u00e7os russos, como o Yandex.<\/p>\n

A FireEye diz que avaliou com \u201calta confian\u00e7a\u201d que o grupo age \u201cem apoio ao governo norte-coreano e est\u00e1 baseado principalmente na Coreia do Norte\u201d. Os pesquisadores chegaram a essa conclus\u00e3o por v\u00e1rias raz\u00f5es, de que o grupo estava almejando at\u00e9 “provavelmente links para um indiv\u00edduo norte-coreano que acredita-se ser o desenvolvedor de v\u00e1rias fam\u00edlias propriet\u00e1rias de malware da APT37”.<\/p>\n

Iron Tiger APT<\/strong><\/p>\n

Possivelmente emergindo de uma s\u00e9rie de ataques sofisticados e altamente direcionados na regi\u00e3o \u00c1sia-Pac\u00edfico, concentrando-se em pol\u00edticos e ag\u00eancias governamentais na China, Hong Kong, Filipinas e Tibete, o grupo apelidado de “Iron Tiger” teria se voltado para alvos em Am\u00e9rica, incluindo contratados do governo dos EUA na ind\u00fastria aeroespacial, energia, intelig\u00eancia, telecomunica\u00e7\u00f5es e nuclear.<\/p>\n

Um relat\u00f3rio da Trend Micro sugeriu que os ataques se originaram da China porque os servidores VPN usados \u200b\u200bpara iniciar os ataques eram baseados principalmente na regi\u00e3o, os nomes de arquivos e senhas usados \u200b\u200beram chineses, recursos de texto e ID de idioma em bin\u00e1rios de malware definidos como chineses simplificados. Os dados Whois apontavam para dom\u00ednios registrados em endere\u00e7os f\u00edsicos na China. O vendedor tamb\u00e9m apontou o dedo para uma pessoa chamada Guo Fei, um morador de Xangai, que acreditava ser fundamental para o sucesso do grupo.<\/p>\n

O BitDefender em fevereiro de 2018 descobriu variantes do trojan Gh0st RAT usado na opera\u00e7\u00e3o Iron Tiger para novos ataques marcados pela primeira vez em julho de 2017 – um malware personalizado chamado PZChao, sugerindo um potencial retorno do grupo que ficou quieto por v\u00e1rios anos.<\/p>\n

Fancy Bear\/APT28<\/strong><\/p>\n

Nenhuma lista de grupos avan\u00e7ados de amea\u00e7as persistentes estaria completa sem o “Fancy Bear”, que teria desempenhado papel importante na invas\u00e3o do Comit\u00ea Nacional Democrata dos EUA na corrida para as elei\u00e7\u00f5es americanas (embora isso tenha sido contestado por “Guccifer 2.0”, que levou cr\u00e9dito).<\/p>\n

O grupo, diz CrowdStrike, est\u00e1 em cena desde 2008 e tem como alvo todos os setores sens\u00edveis usuais – defesa, energia, governo e m\u00eddia – bem como dissidentes. Acredita-se que seja, no m\u00ednimo, patrocinado pelo estado, com os fornecedores observando que o prov\u00e1vel culpado \u00e9 a R\u00fassia.<\/p>\n

\u00c9 capaz de executar opera\u00e7\u00f5es simult\u00e2neas ao mesmo tempo e criou suas pr\u00f3prias ferramentas de implantes, bem como droppers, que s\u00e3o sistemas operacionais cruzados e podem ser apontados para dispositivos m\u00f3veis tamb\u00e9m.<\/p>\n

A Fancy Bear estava ligada a ataques ao parlamento alem\u00e3o, bem como a campanhas para sequestrar o tr\u00e1fego de entrada para um site do governo nigeriano. O grupo tamb\u00e9m desenvolveu malware para os dispositivos da Apple, que era capaz de ler mensagens de texto e secretamente gravar \u00e1udio – uma ferramenta de espionagem \u00fatil no arsenal de qualquer pa\u00eds.<\/p>\n

Fonte: http:\/\/idgnow.com.br\/internet\/2018\/06\/27\/conheca-7-dos-grupos-hackers-mais-perigosos-do-mundo\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Grupos de cibercriminosos geralmente usam ferramentas de malware personalizadas e propriet\u00e1rias, al\u00e9m de meios sofisticados de ataque Atualmente, ataques cibern\u00e9ticos cada vez mais sofisticados s\u00e3o criados e aprimorados por grupos de hackers, geralmente usando ferramentas personalizadas direcionadas a pessoas, empresas e at\u00e9 pa\u00edses. Ousados \u200b\u200b ataques cibern\u00e9ticos fazem com que caixas eletr\u00f4nicos nas ruas distribuam […]<\/p>\n","protected":false},"author":2,"featured_media":9488,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[105,99],"tags":[],"class_list":["post-9487","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=9487"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9487\/revisions"}],"predecessor-version":[{"id":10256,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/9487\/revisions\/10256"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/9488"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=9487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=9487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=9487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}