.
Cada fornecimento de software O ataque em cadeia, no qual os hackers corrompem uma aplicação legítima para distribuir o seu malware a centenas ou potencialmente milhares de vítimas, representa um novo surto perturbador de um flagelo da segurança cibernética. Mas quando esse ataque à cadeia de abastecimento é desencadeado por um grupo misterioso de hackers, que abusam de um modelo de software confiável da Microsoft para fazer com que o seu malware se apresente como legítimo, ele representa um adversário perigoso e potencialmente novo que vale a pena observar.
Hoje, pesquisadores da equipe Threat Hunter da empresa de segurança Symantec, de propriedade da Broadcom, revelaram que detectaram um ataque à cadeia de suprimentos realizado por um grupo de hackers que eles chamaram recentemente de CarderBee. De acordo com a Symantec, os hackers sequestraram as atualizações de software de um software de segurança de origem chinesa conhecido como Cobra DocGuard, injetando seu próprio malware em cerca de 100 computadores em toda a Ásia, principalmente em Hong Kong. Embora algumas pistas, como a exploração do DocGuard e outros códigos maliciosos instalados nas máquinas das vítimas, vinculem vagamente o CarderBee a operações de hackers anteriores patrocinadas pelo Estado chinês, a Symantec se recusou a identificar o CarderBee como qualquer grupo anteriormente conhecido, sugerindo que pode ser uma nova equipe.
Além da perturbadora quebra de confiança em software legítimo que ocorre em todas as cadeias de fornecimento de software, diz a Symantec, os hackers também conseguiram que seu código malicioso – um backdoor conhecido como Korplug ou PlugX e comumente usado por hackers chineses – fosse assinado digitalmente pela Microsoft. A assinatura, que a Microsoft normalmente usa para designar código confiável, tornou o malware muito mais difícil de detectar.
“Sempre que vemos um ataque à cadeia de fornecimento de software, é algo interessante. Mas em termos de sofisticação, este é um nível acima dos demais”, afirma Dick O’Brien, principal analista de inteligência da equipe de pesquisa da Symantec. “Este aqui tem as características de um operador que sabe o que está fazendo.”
O Cobra DocGuard, que ironicamente é comercializado como software de segurança para criptografar e proteger arquivos com base em um sistema de privilégios de usuários dentro de uma organização, tem cerca de 2.000 usuários, segundo a Symantec. Portanto, o facto de os hackers terem escolhido apenas cerca de 100 máquinas para instalar o seu malware – capazes de tudo, desde executar comandos até gravar teclas digitadas – sugere que a CarderBee pode ter vasculhado milhares de vítimas potenciais para atingir especificamente esses utilizadores, argumenta O’Brien. A Symantec se recusou a nomear as vítimas ou dizer se eram em grande parte empresas governamentais ou do setor privado.
O aplicativo Cobra DocGuard é distribuído pela EsafeNet, empresa de propriedade da empresa de segurança Nsfocus, fundada na China em 2000, mas que agora descreve sua sede como Milpitas, Califórnia. A Symantec afirma que não consegue explicar como a CarderBee conseguiu corromper o aplicativo da empresa, que em muitos ataques à cadeia de suprimentos de software envolve hackers violando um distribuidor de software para corromper seu processo de desenvolvimento. Nsfocus não respondeu ao pedido de comentário da Strong The One.
A descoberta da Symantec não é a primeira vez que o Cobra DocGuard é usado para distribuir malware. A empresa de segurança cibernética ESET descobriu que, em setembro do ano passado, uma atualização maliciosa do mesmo aplicativo foi usada para violar uma empresa de jogos de azar de Hong Kong e plantar uma variante do mesmo código Korplug. A ESET descobriu que a empresa de jogos de azar também foi violada pelo mesmo método em 2021.
.
