Já fazem dois meses desde que aconteceu a intrusão à OPM. Durante este tempo, muita especulação tem surgido na imprensa, além de muitas fugas de detalhes do ataque. A seguir apresentamos um resumo da informação publicada até agora.
4 de junho de 2015: A OPM anuncia que tem sofrido uma intrusão
8 de junho de 2015: A Guidance Software anuncia que EnCase tem sido usado durante a investigação da OPM. Paul Shomo, Administrador Senior de Desenvolvimento de Software na Guidance Software, foi citado pela SC MAGAZINE insinuando que o cavalo de Tróia de acesso remoto (RAT) PlugX foi utilizado pelos atacantes da OPM.
15 de junho de 2015: A ThreatConnect reconhece instâncias de malware apresentadas à VirusTotal utilizando nomes de domínio falsos da OPM, enviadas durante uma prévia intrusão à OPM durante 2014. ThreatConnect teoriza que "Destroy RAT aka Sogu", também chamado como “PlugX” em algumas bases de dados de inteligência de ameaças, foi utilizado neste último ataque à OPM.
18 de junho de 2015: Ellen Nakashima comenta em um blog do Washington Post que o “malware descoberto na OPM era uma variante nunca antes vista do malware conhecido como PlugX. ”
27 de junho de 2015: USA Today reporta que a intrusão à OPM teria iniciado com uma credencial de acesso roubada da Key Point Government Solutions, uma empresa contratante sediada em Colorado que a OPM utiliza para fazer investigações de antecedentes.
29 de junho de 2015: FCW nota que um dia após a divulgação da intrusão pela OPM, foi lançado um alerta rápido do FBI que contava os detalhes de uma invasão a uma agência governamental (sem dar o seu nome) e que os atores de ameaça observados usavam 4 RATs: Sakula, FF RAT, Trojan.IsSpace e Trojan.BLT. FCW especula que o FBI estava fazendo referência à OPM. SAKULA também é mencionado no relatório de 15 de junho da ThreatConnect. De forma similar às variantes de PlugX destacadas pela ThreatConnect, SAKULA foi construído para usar nomes de domínios falsos da OPM.
8 de julho de 2015: O chefe do Departamento de Segurança Interna dos Estados Unidos faz uma afirmação vaga sobre ter conseguido reduzir o número dos possíveis atacantes da OPM. Esta informação foi lançada exclusivamente na Voice of America, um meio de comunicação do governo estadunidense pouco conhecido dentro desse país.
29 de julho de 2015: Uma notícia da Bloomberg mostra uma clara conexão entre os atacantes da OPM e os atacantes da United Airlines e da Anthem. A intenção principal destes atacantes chineses seria coletar informação de cidadãos estadunidenses que trabalham para o governo dos EUA.
Como este é um assunto de segurança nacional nos Estados Unidos, é possível que nunca possamos conhecer os detalhes do malware utilizado contra a OPM. Mesmo assim, todos os dados apontam a dois RATs: PlugX e Sakula, ambos aparentemente construídos por autores chineses especificamente para atingir à OPM.
TEMAS RELACIONADOS
A Invasão à OPM: O que está sendo feito corretamente
Faça parte do nosso Grupo de Usuários do EnCase em Português no LinkedIn
Guidance Software anuncia o lançamento de EnCase Endpoint Security
Curta a Nossa Página em Português no Facebook
No comments :
Post a Comment