2017-12-26

SEGURANÇA

Grupo de ciberespionagem Fancy Bear continua operacional em 2017

Foi descoberta uma nova versão do principal malware do Fancy Bear, o Xagent, o que significa que o grupo continua muito ativo em 2017, e continuará assim em 2018.

A ESET tem monitorizado o Fancy Bear (também conhecido por Sednit ou APT28) – um dos mais notórios grupos de ciberespionagem do mundo. Ao longo da monitorização da atividade do grupo, a ESET confirmou que o principal objetivo do Fancy Bear é roubar informação confidencial de alvos específicos de alto perfil. Os alegados alvos durante os últimos anos incluem a rede televisiva francesa TV5Monde em abril de 2015, o parlamento alemão um mês depois e o Comité Nacional Democrático (DNC) americano em março de 2016.

Ao visar certos indivíduos ou grupos, o Fancy Bear usa dois principais métodos de ataque para transmitir o seu software malicioso – tipicamente persuadindo alguém a abrir um anexo de e-mail ou redirecionando um indivíduo para um website que contém um exploit kit personalizado como resultado de um e-mail de phishing.
Quando o grupo identifica um alvo interessante, ativa o seu kit de espionagem, monitorizando dispositivos comprometidos a longo prazo. O Xagent é uma das duas backdoors transmitidas através deste método e usadas para espionagem.

“O Xagent é uma backdoor extremamente bem desenvolvida e, ao longo dos últimos anos, tornou-se no principal malware de espionagem da Sednit,” explica Alexis Dorais-Joncas, líder da equipa de segurança da ESET. “Com a sua capacidade de comunicar através de HTTP ou email, temos observado esta backdoor modular a ser usada extensivamente nas operações do grupo.”


Em 2017, a ESET descobriu uma nova versão do Xagent para Windows, que inclui novas técnicas de ofuscação que melhoram significativamente a maneira como as cadeias de caracteres são encriptadas. “As técnicas acrescentadas à backdoor – encriptação e Algoritmo de Geração de Domínio (DGA) – dificultam a nossa vida,” adianta ainda Dorais-Joncas. “A primeira torna a inversão mais difícil, enquanto a segunda dificulta a aquisição de domínios uma vez que há mais domínios para adquirir ou apreender.”

A adição de novas funcionalidades e compatibilidade com as maiores plataformas – Windows, Linux, Android e iOS – fazem do Xagent a principal backdoor usada pelo Fancy Bear atualmente.

Recomendado pelos leitores

Tudo o que precisa saber sobre o Meltdown e o Spectre
SEGURANÇA

Tudo o que precisa saber sobre o Meltdown e o Spectre

LER MAIS

O que esperar da segurança e proteção dos dados em 2018?
SEGURANÇA

O que esperar da segurança e proteção dos dados em 2018?

LER MAIS

Kaspersky Lab revela tecnologia de combate a acessos remotos
SEGURANÇA

Kaspersky Lab revela tecnologia de combate a acessos remotos

LER MAIS

IT CHANNEL Nº43 Dezembro de 2017

IT CHANNEL Nº43 Dezembro de 2017

VER EDIÇÕES ANTERIORES