Um conjunto de campanhas maliciosas com origem na China terão sido mantidas durante anos tendo como alvo servidores Linux espalhados pelo mundo. Esta operação aparenta ter permanecido ativa nos últimos 10 anos, sem que tivesse sido descoberta pelos investigadores.
De acordo com a descoberta de investigadores da BlackBerry, a campanha encontra-se associada com vários grupos de hackers na China com relações ao governo local, e teria como objetivo o acesso e controlo de servidores Linux em dezenas de países, bem como a recolha de dados sensíveis dos mesmos.
Esta campanha terá sido iniciada em 2012, e desde então tem vindo a passar debaixo do radar da maioria das organizações e entidades de segurança. Além disso, durante todo este tempo os atacantes também não tiveram de atualizar os seus conhecimentos para explorar os sistemas vulneráveis.
Muitas das ferramentas que os hackers aparentemente utilizam para realizar os ataques contra sistemas Linux são datadas de 2012 e 2013, e não foram atualizadas desde então. Os investigadores acreditam que o motivo para estas atividades terem estado ativas sem conhecimento durante tanto tempo encontra-se derivado do facto de ambientes Linux não serem vulgarmente utilizados em ambientes de produção para utilizadores finais, e, portanto, as empresas de segurança focam-se menos neste sistema – apesar do seu uso massivo em sistemas como servidores.
Aproveitando esta “falha”, os criminosos terão mantido ligações com sistemas vulneráveis por anos, recolhendo dados e informações potencialmente sensíveis e que terão sido distribuídas diretamente para o governo chinês.
Os hackers teriam como alvo sistemas baseados no Red Hat, CentOS e Ubuntu em diferentes setores do mercado, procurando pelos sistemas que se encontrassem vulneráveis a falhas conhecidas e que pudessem ser exploradas para as atividades criminosas.
Uma vez descoberto um sistema vulnerável, os atacantes poderiam manter uma ligação permanente a esse sistema com recurso à instalação de malware nos mesmos. Desta forma, mesmo que os sistemas fossem atualizados no futuro, os hackers ainda poderiam manter uma ligação direta aos mesmos devido ao malware instalado no sistema.
Além disso, este tráfego de controlo era mascarado como sendo tráfego regular do sistema, o que dificultaria ainda mais a deteção de qualquer atividade suspeita. Este tráfego era enviado para servidores de comando com o objetivo de enviar a receber atividades a realizar no sistema de forma remota.
Os atacantes tiveram cuidado para garantir que o conteúdo malicioso causava o mínimo de impacto possível nos sistemas, com vista a evitar a deteção e manterem assim as atividades maliciosas por longos períodos.
É bastante provável que estas campanhas ainda estejam ativas nos dias de hoje, apesar da sua descoberta. No entanto uma forma de evitar que as mesmas explorem os sistemas para atividades maliciosas passa por manter os mesmos atualizados e com as mais recentes correções instaladas – tendo em conta que os ataques apenas seriam realizados em sistemas sem as respetivas atualizações implementadas.
Nenhum comentário
Seja o primeiro!