Portugal é um dos países afectados pela Cloud Atlas, também conhecida por Inception, que reforçou o seu modo de ataque com novas ferramentas, que permitem invadir os sistemas de detecção dos Indicadores de Compromisso (IoC) conhecido .
Este malware tem uma ampla trajectória em operações de ciberespionagem contra o sector industrial, aeroespacial entidades estatais e outros organismos. A Cloud Atlas foi identificada pela primeira vez em 2014 e, desde então, nunca deixou de estar activa.
A APT recolhe informações sobre o sistema que se está a utilizar e as credenciais de acesso e rouba ficheiros .txt, .pdf e .xls para um servidor de comando e controlo. Os principais alvos têm sido Portugal, Roménia, Turquia, Ucrânia, Rússia, Turquemenistão, Afeganistão e Quirguistão.
As investigações efectuadas pela Kaspersky revelam que esta ameaça já começou a implementar novas formas para infectar as suas vítimas e a realizar movimentos laterais através da rede. Anteriormente, a Cloud Atlas começava por enviar um email de spear phishing com conteúdo malicioso. Se a infiltração fosse bem-sucedida, o PowerShower – o malware incorporado, utilizado para o reconhecimento inicial e para o download posterior de outros módulos maliciosos adicionais – era executado de forma a que os hackers pudessem proceder com uma operação.
Agora, a nova cadeia de infecção atrasa a execução do PowerShower para uma etapa posterior. Em vez disso, após a infecção inicial pelo email, uma aplicação maliciosa de HTML é descarregada e executa o plano com o mesmo objectivo. De seguida, esta aplicação recolhe informação inicial sobre o computador atacado e só depois é que descarrega e executa o VBShower, outro módulo malicioso, que dá continuação à ameaça, eliminando as provas da presença de malware no sistema. Só depois o PowerShower é descarregado e executado.
Embora esta nova cadeia de infecção seja muito mais complexa que o modelo anterior, o principal elemento diferenciador está no facto da aplicação maliciosa de HTML e do módulo VBShower serem polimorfos. Desta forma, o código em ambos os módulos será sempre novo e único em cada caso e não é reconhecido pelas soluções de segurança que confiam nos Indicadores de Compromisso mais conhecidos.
«Na comunidade de cibersegurança, tem-se vindo a adoptar como uma boa prática a partilha dos Indicadores de Compromisso (IoC) das operações maliciosas que identificamos nas nossas investigações. Esta prática permite responder com rapidez às operações internacionais de ciberespionagem que estão actualmente em marcha», afirma Felix Aime, investigador de segurança da equipa de análise e investigação global (GReAT) da Kaspersky.
O responsável explica ainda que os IoC tornaram-se «obsoletos enquanto ferramentas fiáveis para detectar um ataque dirigido à rede. O primeiro caso começou com o ProjectSauron, que criava um conjunto de IoC único para cada uma das vítimas e que continuou a seguir a tendência de utilizar ferramentas de fonte aberta em operações de ciberespionagem, em vez de ferramentas à medida. Isto continua a verificar-se, tendo agora como exemplo recente o do malware polimorfo. Porém, não significa que seja mais difícil capturar os hackers, mas que as capacidades de cibersegurança e o kit de ferramentas dos defensores têm que evoluir em paralelo com o kit de ferramentas e com as capacidades dos hackers que perseguem».