A empresa de segurança Avast alertou que uma agência federal dos Estados Unidos foi alvo de um ataque cibernético. Segundo publicação no blog da companhia, o incidente envolve um backdoor capaz de oferecer visibilidade e controle total da rede comprometida.
A vítima foi a US Commission on International Religious Freedom, relacionada a direito internacional. De acordo com a Avast, a empresa tentou entrar em contato com o governo por meio de múltiplos canais durante meses para verificar se eles estavam cientes da ameaça e trabalhando para resolver a questão, mas não obteve qualquer resposta.
A análise dos arquivos não forneceu informações sobre o impacto do ataque ou sobre as ações realizadas pelos invasores. Ainda assim, a Avast acredita que é possível concluir que os cibercriminosos conseguiram interceptar e possivelmente extrair todo o tráfego da rede local da organização.
Os conteúdos comprometidos podem incluir informações compartilhadas com outras agências governamentais dos EUA e com organizações globais focadas em direito internacional. Ainda de acordo com o comunicado da Avast, os hackers podem ter implementado código malicioso nos sistemas infectados para obter controle total da rede.
Semelhanças com ataque de 2018
O malware backdoor identificado pela Avast substituiu um arquivo Windows chamado “oci.dll” por outros dois maliciosos. O primeiro deles foi introduzido logo no início do ataque para implementar o WinDivert, que é uma ferramenta legítima para capturar, modificar ou entregar pacotes de rede enviados de ou para a pilha de rede Windows.
O arquivo permite que os cibercriminosos façam o download e executem código malicioso no sistema infectado. Segundo a Avast, é provável que as motivações principais do ataque sejam evitar firewalls e monitorar redes.
Em um segundo momento, os invasores substituíram o falso oci.dll com código capaz de descriptografar um arquivo malicioso chamado “SecurityHealthServer.dll”, que é quase idêntico ao arquivo utilizado nos ataques de espionagens direcionados às cadeias de fornecimento da Coreia do Sul em 2018.
Ao identificar essa semelhança entre os incidentes, os pesquisadores da Avast afirmam que é possível que os responsáveis pelo ataque à agência dos EUA tenham conseguido acesso ao código-fonte do arquivo de 2018, chamado “rcview40u.dll”.
Impactos e especulações
Apesar de ainda não estar claro quais foram os impactos desse ataque cibernético, a Avast afirma que os invasores conseguiram comprometer a rede da agência federal de forma a permitir que eles executassem código malicioso com os mesmos direitos que o sistema operacional.
Além disso, as ações identificadas pela empresa de cibersegurança indicam que os responsáveis pelo ataque são capazes de interceptar qualquer tráfego entre máquinas infectadas.
O fato de as autoridades da agência afetada não responderem aos pesquisadores da Avast dificultou o processo de investigação. De acordo com a publicação, não há como saber com precisão o que os cibercriminosos fizeram ao invadir a rede. Ainda assim, é possível visualizar as implicações desse ataque.
Na publicação da Avast, os pesquisadores dizem que é “razoável presumir” que houve a coleta de dados e extração de tráfego de rede. No entanto, a falta de evidências faz com que isso seja apenas especulação por enquanto.
