Hackers da China vêm realizando uma campanha de ataque cibernético contra
universidades proeminentes nos Estados Unidos, na esperança de roubar informações valiosas para fins militares.
A Universidade do Havaí, o Instituto de Tecnologia de Massachusetts (MIT) e a Universidade de Washington estão entre pelo menos 27 universidades que foram alvo de todo o mundo, segundo o Wall Street Journal .
O iDefense da Accenture Security é a fonte dessa alegação, feita em um novo relatório de pesquisa que deve ser publicado esta semana.
A unidade de defesa de segurança cibernética disse que o "elaborado esquema" está focado no roubo de tecnologia marítima sendo desenvolvida para aplicações militares.
Instituições de ensino no Canadá e na Ásia também estão na lista de alvos.
Acredita-se que os agentes de ameaça por trás da campanha utilizaram táticas de phishing na tentativa de comprometer as redes universitárias, muitas vezes apresentando-se como universidades e instituições parceiras.
Os ataques cibernéticos lançados contra essas entidades foram rastreados enquanto suas redes estavam pingando servidores chineses que, acredita-se, pertenciam a hackers conhecidos como Mudcarp, Leviathan, APT40 ou Temp.Periscope.
Acredita-se que o grupo em questão seja chinês, e dado o foco dos hackers em valiosas tecnologias e informações de interesse para os militares, é possível que o Mudcarp seja patrocinado pelo Estado.
Acredita-se que o grupo em questão seja chinês, e dado o foco dos hackers em valiosas tecnologias e informações de interesse para os militares, é possível que o Mudcarp seja patrocinado pelo Estado.
Muitos dos institutos que a Mudcarp fixou têm ligações com institutos de pesquisa oceanográfica dos EUA.
O Leviathan está ativo desde pelo menos o ano de 2013. Pesquisadores da Proofpoint dizemque os ciberataques tendem a concentrar seus esforços nas indústrias marítimas, empreiteiras de defesa naval e instituições de pesquisa universitária. No entanto, os ataques lançados pelo grupo também foram rastreados para os estaleiros navais dos EUA nos últimos anos.
Em esquemas de phishing anteriores, o Leviathan distribuiu aplicativos de emprego e currículos falsos, além de um interessante anexo de e-mail malicioso chamado "Experiência de recuperação de torpedos". Os documentos do Microsoft Word e Excel usados nessas campanhas continham cargas úteis de malware via macros.
A FireEye, que acompanha o grupo como APT40 , acredita que os hackers são patrocinados pelo Estado e operam "em apoio ao esforço de modernização naval da China".
O APT40 usa uma variedade de vulnerabilidades na cadeia de exploração, incluindo CVE-2012-0158 , CVE-2017-0199 , CVE-2017-8759 e CVE-2017-11882 . O ciclo de vida típico do ataque é mostrado abaixo.
Embora as autoridades chinesas não tenham comentado sobre a pesquisa, no passado, a China negou veementemente qualquer envolvimento em ataques cibernéticos contra os Estados Unidos ou outros países.