Um grupo de piratas informáticos apoiado pela Coreia do Norte, conhecido como APT37 (também identificado como ScarCruft, Ricochet Chollima e InkySquid), está a utilizar uma nova tática para roubar dados de computadores que não estão ligados à internet. Esta campanha, batizada de Ruby Jumper, foca-se em contornar o isolamento físico destas máquinas através do uso de unidades de armazenamento amovíveis, como pens USB.
Computadores isolados (ou air-gapped) são tipicamente usados em infraestruturas críticas, setores militares e de investigação, estando desconectados de redes externas por motivos de segurança. Para transferir dados nestes ambientes altamente restritos, o uso de discos amovíveis é comum, e é precisamente aí que o grupo ataca. Segundo a investigação detalhada pela Zscaler, a campanha recorre a um conjunto de cinco ferramentas maliciosas criadas especificamente para este fim: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE.
O engodo perfeito e a propagação inicial
A cadeia de infeção começa de forma discreta quando a vítima abre um ficheiro de atalho do Windows (LNK) que se encontra comprometido. Este ficheiro executa um script PowerShell em segundo plano, encarregue de extrair as cargas virais escondidas. Para não levantar suspeitas e manter o utilizador distraído, o script abre também um documento falso, que consiste numa tradução em árabe de um artigo de um jornal norte-coreano sobre o conflito israelo-palestiniano.
O primeiro componente informático a ser carregado é o RESTLEAF, que estabelece a comunicação inicial com os servidores dos atacantes utilizando de forma abusiva o serviço legítimo Zoho WorkDrive. A partir daqui, é descarregado o SNAKEDROPPER, um programa baseado na linguagem Ruby que instala o ambiente de execução Ruby 3.3.0 no sistema da vítima. Para passar despercebido aos olhos do utilizador e dos sistemas de segurança, este ambiente disfarça-se de um utilitário comum com o nome usbspeed.exe.
Um arsenal para contornar o isolamento
A verdadeira ponte entre o computador isolado e os atacantes é construída com a ferramenta THUMBSBD. Este utilitário recolhe informações do sistema e cria diretórios ocultos nas pens USB que sejam ligadas à máquina. Desta forma, o dispositivo amovível transforma-se num canal de comunicação bidirecional camuflado, permitindo aos piratas enviar comandos para o sistema isolado e extrair os dados roubados de forma passiva quando a pen for ligada posteriormente a um computador com acesso à internet.
Para garantir que o malware se espalha de forma eficaz para novas máquinas isoladas, a ferramenta VIRUSTASK entra em ação. Esta esconde os ficheiros legítimos presentes na unidade USB e substitui-os por atalhos infetados. Curiosamente, para evitar falhas ou corrupção de dados que pudessem alertar a vítima, este processo de infeção só é ativado se a pen tiver, pelo menos, 2GB de espaço livre disponível.
O arsenal fica completo com a implementação do FOOTWINE, uma porta traseira de espionagem engenhosa que se disfarça de um ficheiro de instalação Android (APK). Uma vez ativo, é capaz de registar as teclas premidas, capturar ecrãs, gravar áudio e vídeo em tempo real, e executar comandos remotamente. Adicionalmente, os investigadores detetaram também o uso do BLUELIGHT, um programa de espionagem completo e poderoso que já tinha sido previamente associado aos ataques deste mesmo grupo norte-coreano.
Nenhum comentário
Seja o primeiro!