Os crackers, que comprometeram o site do Departamento de Trabalho, exploraram uma vulnerabilidade até então desconhecida (0-day) do Internet Explorer 8, comumente encontrado em PCs com Windows XP. O Javascript injetado no site redirecionava os visitantes que usavam o IE8 no XP para um site malicioso.
Ao escolher direcionar ataques a agências federais, os cibercriminosos entenderam que muitos departamentos do governo ainda estão usando versões desatualizadas do Windows e do IE, devido a enorme despesa em atualizar milhares de pessoas para as versões mais recentes. Tais migrações envolvem a difícil tarefa de atualizar muitas outras aplicações de negócios para suportar o novo sistema operacional.
"Há um monte de agências governamentais e também entidades comerciais, que simplesmente não podem atualizar para estas versões mais recentes", disse o pesquisador de segurança da Invincea, Eddie Mitchell, na segunda-feira (6). "Eles têm aplicações internas, aplicações de RH (recursos humanos), aplicações de folha de pagamento e que foram concebidas explicitamente para trabalhar com Internet Explorer 8, razão pela qual estas organizações ainda são vulneráveis."
Os pesquisadores concordam que servidores de comando e controle (C&C) do último ataque, identificado na semana passada, têm atributos semelhantes aos usados em ataques anteriores provenientes da China.
A empresa de segurança FireEye informou que o nome do host dos servidores C&C no mais recente ataque incluia a frase "MicrosoftUpdate", também usado em ataques ao longo dos últimos seis meses contra o site do Conselho de Relações Exteriores e de páginas de notícias na China visitados por dissidentes chineses.
"Não ficarei surpreso se os golpes forem provenientes do mesmo grupo", disse Zheng Bu, diretor-sênior de pesquisa da FireEye.
A FireEye e a Invincea não identificaram os culpados, mas a AlienVault informou que o malware usa o mesmo protocolo para se comunicar com os servidores C&C - da mesma forma que o usado por um grupo de hackers chineses chamado Deep Panda. O grupo é conhecido por atacar uma variedade de entidades norte-americanas, incluindo indústrias de alta tecnologia e de defesa e agências estaduais e do governo federal.
As páginas comprometidas do Departamento do Trabalho continham informações de doenças relacionadas à energia nuclear, ligadas às instalações do Departamento de Energia - onde os funcionários estão a desenvolver armas atômicas. Os visitantes foram redirecionados para o site malicioso sem saberem, já que não houve mudança óbvia no navegador.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário