Imagem: ShutterstockNormalmente são os russos que despejam os arquivos de seus inimigos. Esta semana, o US Cyber Command (CYBERCOM), um parte das forças armadas encarregadas de hackear e missões focadas em segurança cibernética, começaram a divulgar publicamente amostras de malware dos adversários ele descobriu.
A CYBERCOM diz que o movimento é melhorar o compartilhamento de informações entre a comunidade de segurança cibernética, mas de certa forma pode ser visto como um sinal para aqueles que hackeiam os sistemas dos EUA: podemos liberar suas ferramentas para o mundo todo.
“Este pretende ser um esforço duradouro e contínuo de compartilhamento de informações, e não está focado em nenhum adversário em particular”, disse Joseph R. Holstead, diretor interino de assuntos públicos da CYBERCOM, ao Motherboard por e-mail.
Na sexta-feira, a CYBERCOM carregou vários arquivos no VirusTotal, um Mecanismo de pesquisa e repositório de propriedade do Chronicle para malware. Uma vez carregado, Os usuários do VirusTotal podem baixar o malware , veja quais produtos antivírus ou de segurança cibernética provavelmente o detectam e veja links para outros códigos maliciosos.
Tem uma dica? Você pode entrar em contato com Joseph Cox com segurança no Signal em +44 20 8133 5190, chat OTR em jfcox@jabber.ccc.de ou e-mail joseph.cox@MediaMente.com.
Uma das duas amostras CYBERCOM distribuídas na sexta-feira está marcada como proveniente do APT28, um grupo de hackers ligado ao governo russo, por várias empresas de segurança cibernética, de acordo com VirusTotal . Isso inclui Kaspersky Lab, Symantec e Crowdstrike, entre outros. APT28 também é conhecido como Sofacy e Fancy Bear.
Adam Meyers, MediaMente-presidente de inteligência da CrowdStrike, disse que a amostra parecia nova, mas as ferramentas da empresa a detectaram como maliciosa no primeiro contato. Kurt Baumgartner, principal pesquisador de segurança da Kaspersky Lab, disse ao Motherboard por e-mail que a amostra “era conhecida pela Kaspersky Lab no final de 2017” e foi usada em ataques na Ásia Central e no Sudeste da Europa na época.
“Ao relatar sobre isso, os pesquisadores da Kaspersky Lab notaram que parecia interessante que essas organizações compartilhassem sobreposições como alvos anteriores do Turla [outro grupo de hackers russo]. No geral, não é 'novo', mas está disponível recentemente para o público do VirusTotal.”
O malware em si não parece ainda estar ativo. Um porta-voz da Symantec disse à Motherboard por e-mail que os servidores de comando e controle – os computadores que informam ao malware quais comandos executar ou armazenar dados roubados – não estão mais operacionais. O porta-voz acrescentou que a Symantec detectou a amostra quando a empresa atualizou suas ferramentas de detecção há alguns meses.
CYBERCOM anunciou sua nova iniciativa na segunda-feira, e carregou suas duas primeiras amostras no mesmo dia.
Atualização: Esta parte foi atualizada para corrigir que o Chronicle é dono do Virus Total, não do Google.