De acordo com um relatório da Trend Micro, o grupo chinês de hackers de espionagem cibernética Earth Lusca não apenas monitora alvos estratégicos, mas também se envolve em ataques com motivação financeira para obter lucro.
Os pesquisadores escrever que nos últimos anos, o grupo de hackers tem espionado vários alvos que podem ser do interesse do governo chinês, por exemplo:
- agências governamentais em Taiwan, Tailândia, Filipinas, Vietnã, Emirados Árabes Unidos, Mongólia e Nigéria;
- instituições educacionais em Taiwan, Hong Kong, Japão e França;
- Mídia em Taiwan, Hong Kong, Austrália, Alemanha e França;
- organizações e movimentos políticos pró-democracia e de direitos humanos em Hong Kong;
- organizações de pesquisa que estudam COVID-19 nos EUA;
- empresas de telecomunicações no Nepal;
- movimentos religiosos proibidos na China continental
Interessantemente, ao mesmo tempo, o grupo conseguiu atacar empresas de jogos de azar na China e várias plataformas de criptomoeda, roubar fundos de outras pessoas.
O recorde notas que grupos de hackers que praticam ataques com motivação financeira e de espionagem não são uma raridade. Por exemplo, Hackers iranianos invadem dispositivos VPN em todo o mundo, selecione alvos importantes de que precisam para coletar dados, e vender o “excedente” na dark web, em fóruns frequentados por operadores de ransomware.
Os hackers norte-coreanos são uma categoria por direito próprio, já que alguns deles estão claramente autorizados pelo estado a roubar bancos e bolsas de criptomoedas para arrecadar dinheiro para seu país, que está há muito tempo sob severas sanções económicas.
Quanto à China, comportamento semelhante foi observado anteriormente em alguns grupos de hackers do Reino Médio. Por exemplo, o relatório FireEye fala sobre APT41 (também conhecido como Dragão Duplo), cujas táticas são em muitos aspectos semelhantes às da Terra Lusca.
A Trend Micro relata que os participantes do Earth Lusca usam principalmente três métodos de ataque em suas campanhas:
- exploração de vulnerabilidades não corrigidas em servidores e aplicações web acessíveis pela Internet (por exemplo, Oracle GlassFish e Microsoft Exchange);
- e-mails de phishing direcionados que contêm links para arquivos ou sites maliciosos;
- Ataques de watering hole, quando as vítimas são atraídas para sites pré-comprometidos, e lá eles tentam infectá-los com malware.
Na maioria dos casos, os invasores pretendiam implantar o Cobalt Strike em hosts infectados, e as cargas usadas durante a segunda fase do ataque incluem o Doraemon, ShadowPad, Winnti e EngraçadoSwitch portas dos fundos, assim como o AntSword e Atrás conchas de teia.
Os pesquisadores também observaram que o grupo frequentemente implanta malware de mineração em hosts infectados.
Embora ainda não esteja claro se isso é feito para minerar criptomoedas ou se é uma forma de desviar a atenção dos especialistas de TI da empresa vítima, que podem acreditar que o hack estava relacionado a uma botnet de mineração normal, e não uma operação de espionagem complexa.
Deixe-me lembrá-lo que falei sobre o fato de que o Grupo de hackers chinês Aquatic Panda explora Log4Shell hackear instituições educacionais, e também que o Grupo hacker chinês Chimera rouba dados de passageiros aéreos.