Na última terça-feira (12), a Google publicou um relatório de uma grande operação de hacking que tentou afetar usuários de Android e Windows. Publicado em seis partes, a complexa movimentação de cybercriminosos utilizavam dois servidores para aplicar ataques watering hole, onde buscam controle da rede de dispositivos para aplicação de golpes em phishing ou downloads maliciosos.
A ação coordenada utilizou métodos sofisticados para estudar o comportamento de navegação de usuários de dispositivos Android e Windows. Com o apoio dos servidores, os criminosos utilizaram falhas “zero-day” do Google Chrome como porta de entrada, garantindo acesso ao tráfego de dados do usuário com a internet e, em seguida, explorando acesso remoto sobre o dispositivo atingido.
Na ação, não só brechas não corrigidas foram exploradas. Segundo o documento, os cybercriminosos aproveitaram a negligência com atualizações para tirar proveito de falhas já corrigidas por updates, demonstrando premeditação nessa sofisticada ação.
Dos bugs, quatro deles eram em renderizadores do Google Chrome — um deles “zero-day”; dois foram explorações sandbox escape que exploravam três vulnerabilidades “zero-day” no Windows; e um conjunto que abusava de brechas em versões mais antigas do sistema operacional Android. Todos eles encontrados nos servidores, como descreve o documento da Google.
Um grupo perigoso
Os pesquisadores responsáveis pelo relatório se mostram preocupados com as próximas ações dos cybercriminosos. Esse evento demonstrou que o grupo tem uma ótima capacidade de planejamento, explorando hábitos comuns e com brechas ainda não descobertas.
Até agora, o Google acredita que a ação foi idealizada por especialistas em segurança. “Eles são códigos complexos, projetados com uma variedade de novos métodos de exploração”, comentam no relatório. “(os códigos) possuem extração madura, técnicas de pós-exploração sofisticadas e altos volumes de anti-análise e verificações de direcionamento”, complementaram.
Não foi revelado o volume de vítimas dos ataques, então não há informações sobre a quantidade de alvos, quantos dispositivos foram atingidos e quais as consequências da invasão. O relatório completo foi publicado no blog Google Project Zero.
Categorias