Hackers que atacaram Facebook, Microsoft, Twitter e Apple representam ameaça à segurança corporativa

Grupo de hackers que atacou Facebook, Microsoft, Twitter e Apple está ativamente hackeando para roubar informações confidenciais para lucro

Um grupo de hackers que vinha invadindo empresas de tecnologia de alto perfil como Microsoft, Apple Inc, Facebook Inc e Twitter Inc há mais de dois anos agora acredita-se que tenha intensificado seus esforços de espionagem econômica enquanto busca informações comerciais confidenciais e propriedade intelectual para lucrar com isso.

O grupo que foi identificado como Wild Neutron ou Morpho pela Symantec Corp. e Kaspersky Lab, invadiu as redes de mais de 45 grandes empresas desde 2012. A Symantec afirma que o grupo parece estar entre os poucos que demonstram talento significativo sem o apoio de um governo nacional.

“Eles são muito focados, querendo tudo que é valioso das principais empresas do mundo”, disse Vikram Thakur, um gerente sênior da Symantec. “A única maneira que poderiam usar isso, em nossa opinião, é através de algum mercado financeiro ou vendendo-o.”

A Symantec disse que o Morpho havia desaparecido dos radares por meses após relatos da imprensa sobre as violações da Microsoft, Apple e outras grandes empresas de tecnologia no início de 2103, que lançaram luz sobre suas técnicas, que incluíam o uso de uma falha “zero-day” anteriormente desconhecida na plataforma Java da Oracle.

A Symantec afirmou que o Morpho também usou um “watering hole” infectando sites que provavelmente atraíam funcionários de seus alvos como visitantes. Funcionários de desenvolvedores de iPhone foram alvos através desse método.

A Symantec identificou 49 organizações diferentes em mais de 20 países que foram vítimas do grupo Morpho desde 2012. A maioria delas era dos setores de tecnologia, farmacêutico, commodities e jurídico e estavam baseadas nos EUA, Canadá ou Europa.

A Kaspersky identificou empresas adicionais comprometidas pelo grupo que estão envolvidas em criptomoeda Bitcoin, investimentos, saúde, imóveis, fusões e aquisições, bem como usuários individuais.

“O Morpho é um grupo de ataque habilidoso, persistente e eficaz que está ativo desde pelo menos março de 2012”, escreveram pesquisadores da empresa de segurança Symantec em um relatório publicado na quarta-feira. “Eles têm bons recursos, usando pelo menos uma ou possivelmente duas explorações zero-day. Sua motivação é muito provavelmente o ganho financeiro e, dado que estão ativos há pelo menos três anos, devem estar tendo sucesso em monetizar suas operações.”

Pesquisadores da Kaspersky Lab, que divulgaram seu próprio relatório independente sobre o Morpho. O relatório da Kaspersky disse que o grupo está ativo desde pelo menos 2011 e, além da exploração zero-day do Java, o Morpho começou a usar um certificado digital válido emitido para a Acer Incorporated para contornar os requisitos de assinatura de código incorporados em sistemas operacionais modernos. Eles também detectaram o uso recente de uma “exploração desconhecida do Flash Player, uma indicação de que os atacantes podem estar usando mais uma exploração zero-day.

O Morpho invadiu cerca de 49 organizações que a Symantec conhece desde 2012, com o número de penetrações a cada ano subindo para 14 até 2015. A maioria das vítimas do Morpho está situada nos Estados Unidos, Europa e Canadá, de acordo com a Symantec.

Thakur disse que sua equipe acredita que o grupo pode ter cerca de 10 membros em todo o mundo, com alguns fluentes em inglês e um ou mais talvez tendo trabalhado em uma agência de inteligência. Eles poderiam estar se oferecendo para contratação ou poderiam estar invadindo empresas especulativamente e tentando vender as informações ou negociando ações com base nisso.