Centros Investigação vacina Covid-19 alvo de ciberataques

Publicado em 18/07/2020 10:20 em Segurança Informática

O Centro Nacional de Cibersegurança do Reino Unido (NCSC) revelou que laboratórios de investigação do Reino Unido, Canadá e Estados Unidos (EUA) empenhados no desenvolvimento de vacinas contra a Covid-19 foram alvo de ataques informáticos com o malware WellMess.

O NCSC atribui estes ataques ao grupo APT29, também conhecido como «The Dukes» ou «Cozy Bear», um grupo de ciberespionagem que usa um conjunto de ferramentas e técnicas tendo como alvos predominantes nomeadamente governos, serviços diplomáticos e os sectores da saúde e energia.

O relatório do NCSC tem a concordância de serviços congéneres do Canadá e EUA.

Aquele organismo oficial britânico indica que ao longo de 2020 o grupo tem atacado várias organizações envolvidas na investigação de vacinas para a Covid-19, admitindo que o objectivo seja roubar informação e propriedade intelectual relacionadas com a investigação de vacinas e testes.

Adianta que a APT-29 usa malware conhecido como WellMess e WellMail para atacar um conjunto de organizações, incluindo ligadas à investigação ao Covid e utiliza phishing para obter credenciais de autenticação para acesso às páginas disponíveis por Internet das organizações visadas.

A NCSC afirma que o grupo usa frequentemente «exploits» disponíveis publicamente para efectuar uma exploração alargada de sistemas vulneráveis, aparentemente para obter credenciais de autenticação para uso futuro e obter acesso potencial a um número alargado de sistemas a nível global, muitos dos quais com pouca probabilidade de terem um valor de inteligência imediato.

Acrescenta que, depois de obter acesso a um sistema, o grupo instala mais ferramentas para forjar credenciais próprias «legítimas» para manter um acesso persistente ao sistema.

A NCSC observa que, em alguns casos, o APT29 instala o malware WellMess ou WellMail, uma aplicação leve feita à medida para conduzir operações posteriores no sistema da vítima, desenhada para correr comandos ou scripts cujos resultados são enviados para servidores fortemente codificados «Command and Control» (C2).

A empresa russa de segurança informática Kaspersky afirma que a sua Equipa Gobal de Investigação e Análise (GReAT) tem vindo desde há meses a monitorizar os novos servidores C2 associados ao WellMess, um malware inicialmente documentado pelo Japan Computer Emergency Response Team (JPCERT) em Julho de 2018 e que tem estado esporadicamente activo desde então.

A Kaspersky acrescenta que desde Março passado detectou um aumento de actividade nos servidores C2, o que aponta para uma possível nova onda de actividade, e indica que documentou ataques a várias empresas e instituições do Médio Oriente e Norte de África utilizando o WellMess, assim como um caso de uma empresa de tecnologias da Informação (TI) europeia.

Ainda sem comentários