O FBI alertou empresas do setor privado sobre uma campanha ativa de hackers com o aumento de ataques às cadeias de suprimentos. Os invasores procuram comprometer os fornecedores de software infectando os desenvolvedores com o Trojan Kwampirs.
O FBI também relata que o mesmo malware foi usado para atacar empresas do setor de saúde, setores de energia e finanças. Nomes das empresas afetadas não são divulgados.
“Acreditamos que os fornecedores de software se tornam alvos de ataques para obter acesso aos seus parceiros estratégicos e clientes, incluindo organizações que apoiam sistemas de controle de processos para produção global, transmissão e distribuição de energia”, – disse em a nota do FBI que foi publicado na semana passada.
Kwampirs foi descrito pela primeira vez em um relatório da Symantec em abril 2018. Naquela hora, especialistas escreveram que o grupo de hackers Orangeworm usou Kwampirs para atacar cadeias de suprimentos, e o objetivo do grupo eram principalmente empresas que forneciam software para o setor de saúde.
Segundo pesquisadores, o grupo Orangeworm está ativo pelo menos desde 2015.
Olhando para a lista de vítimas, os pesquisadores concluíram que a indústria médica é o principal alvo dos criminosos, e muitas empresas de logística e empresas de TI também foram comprometidas como parte de um ataque massivo à cadeia de abastecimento. Então, essas empresas também atuam no desenvolvimento e fornecimento de soluções para o setor de saúde.
Especialistas acreditavam que o objetivo final dos invasores poderia ser o roubo de patentes de organizações médicas e sua posterior revenda no mercado negro.
Lab52 relatório, lançado um ano antes, em abril 2019, confirmou totalmente as descobertas da Symantec.
No entanto, um aviso do FBI afirma que os ataques usando o malware Kwampirs estão evoluindo, e agora é mais provável que tenha como alvo empresas de ICS, e especialmente o setor de energia.
Se os pesquisadores anteriores não associassem o Orangeworm a nenhum país em particular, o FBI afirma que os novos dados e o estudo dos códigos-fonte dos Kwampirs sugerem que o trojan é muito semelhante ao notório limpador Shamoon desenvolvido pelo grupo de hackers iraniano APT33.
Aqui vale lembrar que recentemente, Segurança Interna dos EUA just warned que esperam um aumento no número de ataques de hackers do governo iraniano contra objetos estruturais e empresas nos Estados Unidos.
“Embora o Kwampirs RAT não tivesse um componente limpador, uma análise forense comparativa mostrou que o Kwampirs RAT se parecia muito com o malware Disttrack para destruição de dados (geralmente conhecido como Shamoon)”, – escreve o FBI.
O malware Shamoon foi usado em vários ataques de destruição de dados contra empresas do setor de energia e, em particular, em campos de petróleo e gás.
De acordo com relatórios de especialistas em segurança da informação, recentemente government hackers attacked companies more often.
O FBI instou as empresas a examinarem as redes em busca de quaisquer sinais de Kwampirs e relatarem quaisquer infecções.