Empresa de segurança divulgou algumas informações sobre sua investigação a respeito de um grupo de hackers de provável origem chinesa que está mirando as indústrias marítima e de engenharia americanas. Batizado de “TEMP.Periscope” e chamado por algumas outras empresas de “Leviathan”, é provável que o grupo tenha interesse nesses alvos por causa das disputas no Mar da China Meridional.

O TEMP.Periscope é um grupo de “APT” (sigla em inglês para Ameaça Avançada Persistente). São invasores que agem com objetivos específicos e contra alvos direcionados. Eles são diferentes dos criminosos que agem na internet e que visam os internautas em geral.

O grupo vem sendo rastreado desde 2013, mas ficou ocioso após as negociações do ex-presidente norte-americano Barack Obama com o presidente da China Xi Jinping em 2015. Os invasores voltaram à ativa no fim de 2017, com versões atualizadas de suas ferramentas de ataque.

O Mar da China Meridional é uma região disputada. Nele passam anualmente mercadorias avaliadas em bilhões de dólares e acredita-se existir grandes depósitos de gás e petróleo lá. Vietnã, Filipinas, Malásia, Brunei e Taiwan reivindicam algum controle sobre a região, mas a China vem construindo infraestrutura e tentando assumir o controle da área.

Os Estados Unidos voltaram a realizar patrulhas na região em 2007. Os americanos alegam que essa medida visa garantir a “liberdade de navegação”.

De acordo com a empresa de segurança, o tipo de informação buscada pelo TEMP.Periscope permitira a alguém responder perguntas como “qual é o alcance e a eficácia deste sistema de radar marinho?” ou “com quanta precisão um sistema pode detectar e identificar atividades no mar?” Essas informações dariam vantagem em negociações e atividades no Mar da China Meridional.

Além de empresas de engenharia e logística da indústria marítima, o grupo também atacou empresas dos setores de consultoria, alta tecnologia, saúde e imprensa. A maioria das vítimas é dos Estados Unidos, mas algumas também são europeias e uma é de Hong Kong. A empresa não confirma se todas essas empresas chegaram a ser invadidas — apenas que foi possível registrar tentativas de ataque. Também não foi informado o número total de vítimas.

Como outros grupos de APT, o TEMP.Periscope chega às vítimas usando “spear phishing”, ou seja, e-mails direcionados e redigidos especificamente para seus alvos. Esse tipo de mensagem costuma ser bastante convincente e é mais difícil de ser reconhecida como maliciosa. O grupo também tira proveito de brechas para incluir o instalador de vírus em documentos, dando um ar de legitimidade ainda maior para os e-mails.

Uma das ferramentas usadas pelo TEMP.Periscope é chamada de “PHOTO”. Esse vírus é capaz de realizar capturas de tela, gravar vídeo e áudio, listar e finalizar programas em execução, registrar as teclas digitadas, recuperar usuários e senhas em armazenamento protegido e modificar arquivos.

A Future possui as melhores soluções e serviços para manter sua empresa sempre segura. Saiba mais clicando aqui.

Fonte: G1