Ciberespionagem está ligada a Black Hat SEO, mostra pesquisa

Novas pesquisas levantam a questão sobre o pensamento convencional de que ciberespiões raramente – ou nunca – se envolvem em cibercrimes financeiros. Na conferência RSA, realizada na semana passada em San Francisco (EUA), a DellSecureWorks compartilhou detalhes de um estudo  conduzido com duas famílias de malware de espionagem O resultado: supostamente, as mesmas pessoas eu praticavam crimes de espionagem também agiam com técnicas de Black Hat [práticas desleais para obter melhor resultado em ferramentas de busca] em Search Engine Optimization (SEO).

O estudo levou em consideração ameaças que infectaram computadores do governo no Vietnã, Brunei, Mianmar, Europa, bem como uma embaixada na China.Joe Stewart, diretor de pesquisa de malware da SecureWorks,  pesquisou os domínios compartilhados por essas famílias de malware, que parecem ter sido registrados por um indivíduo cujo endereço físico era uma caixa postal na localização fictícia de “Sin Digoo”, Califórnia (EUA).

Os domínios foram registrados sob os nomes de “Tawyna Grilth” e “Eric Charles”, com um endereço do Hotmail durante 2004 e 2011. Segundo a SecureWorks, o malware usando o domínio Tawyna Grilth estava conectado à atividade Advanced Persistente Threat (APT, que remetem a invasões são extremamente profissionais). Mas os pesquisadores também descobriram que o mesmo domínio hospedava um serviço de otimização de mecanismo de pesquisa Black Hat.

“Não consigo imaginar a mesma pessoa como espião à noite e SEO de dia. Os dois mundos podem se combinar?”, questionou Stewart.

“O domínio era usado para espionagem. Isso não é dizer que ele atacava esses governos e empresas. Mas registrou os domínios”. Os pesquisadores descobriram que o invasor também escreveu uma ferramenta de ataque, mas não podem provar se estava usando ou fornecendo a outros. A forma que as atividades de ciberespionagem e Black Hat SEO estão relacionadas não é clara. “Só podemos especular”. Há também a possibilidade de ser um embuste para ofuscar o invasor real.

O que é mais interessante, segundo Stewart, é o ataque ter como alvo ministérios e empresas no Sudeste da Ásia. Cerca de 95% do tráfego de um dos domínios maliciosos foi rastreado para o Vietnã. “Não era um país que víamos como alvo no passado”.

Os IPs que foram infectados não eram somente de ministérios governamentais, mas também de empresas de exploração de petróleo e advocacias. Na Europa, uma agência de segurança nuclear foi infectada com o malware de ciberespionagem, bem como uma embaixada da China. A SecureWorks entrou em contato com CERTs (Certificação de rede) da região para alertar as vítimas.

A empresa também detalhou em seu relatório Sin Digoo uma conexão com o malware  à exposição dos servidores SecureID da RSA no ano passado. Stewart afirmou ter provas circunstanciais da conexão: o invasor da RSA compartilhou a mesma infraestrutura do malware usado nos ataques Sin Digoo.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Saiba mais:

Ameaças virtuais APT: o que são e por que tão perigosas