Segurança > Cibercrime, Ciberguerra, Vírus e vulnerabilidades

Ação zero-day do Adobe Flash é liderada por grupo norte-coreano

Especialistas da FireEye indicam atribuições da ameaça e cenário do ataque

06 de Fevereiro de 2018 - 10h30

A vulnerabilidade zero-day no Adobe Flash, confirmada pela Abode na última semana, foi liderada por integrantes de um grupo norte-coreano conhecido como Reaper. Após o anúncio da KISA (Korea Internet & Security Agency) sobre a falha, a empresa de cibersegurança FireEye iniciou a investigação, focando nas versões Adobe Flash Player 28.0.0.137 e anteriores.

John Hultquist, diretor de análise de inteligência da FireEye, considera a nacionalidade norte-coreana como responsável pois já observou carregar dados erroneamente (envio e controle) para servidor no espaço de IP norte-coreano. "Seu maior foco de ameaças é a Coreia do Sul, visando governo, Forças Armadas e a base industrial de defesa, assim como outros setores da indústria. O grupo demonstra também interesses previsíveis, nos desertores e no esforço para a unificação, por exemplo", explica.

O grupo norte-coreano TEMP.Reaper – ou apenas Reaper – é tido como principal suspeito pelo ataque. A FireEye observou que seus operadores interagiram diretamente com a infraestrutura de comando e controle de endereços de IP atribuídos à rede STAR-KP em Pyongyang, capital da Coreia do Norte. A rede STAR-KP é uma joint venture entre a Corporação de Correios e Telecomunicações do Governo da Coreia do Norte e a Loxley Pacific, com sede na Tailândia.

Vulnerabilidades zero-day são as brechas encontradas e exploradas por hackers em softwares ou sistemas operacionais, antes que os desenvolvedores tenham tempo de resposta ao incidente. Desta forma, o invasor pode assumir o controle do sistema afetado.

Ameaça olímpica

Hultquist aleta que este é um dos atores norte-coreanos que preocupa em relação aos Jogos Olímpicos de Inverno, que começam na próxima semana. "Eles podem estar motivados na coleta de informações para, possivelmente, planejar e executar um ataque. Nossas equipes de especialistas conectam os ataques a outros atores norte-coreanos, mas não os observaram no envolvimento de atividade disruptiva ou destrutiva. Embora não tenham visto a execução, foi observada a implantação de softwares de limpeza", afirma.

Recomendações

A Adobe afirmou que planeja liberar uma solução ainda nesta semana. Enquanto isso não acontece, a FireEye recomenda aos seus clientes e usuários comuns que utilizem o Flash com cautela, especialmente se precisarem acessar sites sul-coreanos e que evitem abrir documentos suspeitos, como planilhas do Excel. Devido à publicação da vulnerabilidade antes da disponibilidade do patch, é provável que outros grupos criminais e estatais tentem explorar esta vulnerabilidade a curto prazo.