Os investigadores da ESET, a maior empresa europeia de cibersegurança, observaram recentemente um novo ataque que atingiu várias empresas europeias ativas na indústria de defesa. Trata-se de uma campanha associada ao grupo cibercriminoso Lazarus, alinhado com a Coreia do Norte. Estará Portugal na lista?
Empresas portuguesas podem ter sido afetadas pelo último ataque?
Algumas das empresas afetadas estão fortemente envolvidas no setor de veículos aéreos não tripulados (UAV/drones), sugerindo que a operação pode estar ligada aos esforços atuais da Coreia do Norte para ampliar o seu programa de drones. O objetivo principal suspeito dos invasores era a exfiltração de informações proprietárias e know-how de fabricação.
Com o propósito de obter mais informações sobre o assunto, a Pplware falou com André Lameiras, Especialista Sénior em Comunicação de Assuntos Governamentais da ESET Global.
Existe a possibilidade de outras empresas de indústria militar terem sido afetadas, por exemplo, portuguesas?
AL: De acordo com o observado pela telemetria da ESET, as empresas afetadas foram uma empresa de engenharia de metais no Sudoeste da Europa, uma empresa que produz componentes para aviação e uma empresa na indústria da defesa, as duas localizadas na Europa Central. Em comum têm a produção de equipamentos militares e, em particular, de peças para drones.
Nesta investigação, não detetámos nenhum ataque em Portugal; no entanto, tal como outros países europeus, também Portugal participa no apoio militar à Ucrânia, incluindo drones, pelo que qualquer empresa com atividade nestas indústrias deverá estar vigilante.
No entanto, segundo a investigação da ESET, o principal payload utilizado, ScoringMathTea, pode ser rastreado até aos seus primeiros vestígios públicos em outubro de 2022, através de ficheiros enviados para o VirusTotal, a partir de Portugal e da Alemanha.
Apesar de não existir qualquer alvo português detetado na nossa telemetria, existe, historicamente, alguma exposição do país ao Lazarus, grupo alinhado à Coreia do Norte.
Que papel teve a ESET nesta investigação com estas organizações?
AL: Através da nossa telemetria, a ESET identificou esta campanha e partilha agora publicamente os resultados da investigação.
A ESET recolhe e analisa uma vasta quantidade de informação de threat intelligence que, por razões de confidencialidade, não é divulgada publicamente. Esta informação é apenas partilhada com as autoridades – como centros nacionais de cibersegurança ou unidades de cibercrime -, as organizações envolvidas e através dos nossos relatórios privados de threat intelligence.
Paralelamente, algumas investigações conduzidas pelos nossos centros de I&D são publicadas com o objetivo de alertar para os riscos de um panorama de ciberatividade cada vez mais complexo e de reforçar a importância de dispor de soluções de cibersegurança robustas.
Que recomendação dão às restantes empresas que podem estar na mira destes grupos organizados?
AL: É fundamental compreender como a engenharia social, neste caso, através de ofertas de emprego falsas, pode ser utilizada para aliciar um membro de uma equipa a clicar num link malicioso, comprometendo assim o acesso a informação confidencial de uma empresa alvo de um ciberataque.
Neste sentido, a prevenção e campanhas de sensibilização continuam a ser das defesas mais importantes. Regras simples, como utilizar autenticação multifator (MFA), não usar pen drives desconhecidas, e instalar atualizações assim que estão disponíveis, reduzem significativamente o risco de falha humana.
Ao mesmo tempo, é essencial dispor de soluções de cibersegurança robustas, de pessoas ou equipas dedicadas à sua gestão e de tecnologias de deteção e resposta (EDR e MDR) que permitem identificar e reagir rapidamente a um incidente.
As grandes empresas devem também conhecer a sua cadeia de fornecimento, que é, em geral, composta por PMEs com menos recursos e menor maturidade em cibersegurança, mas é um vetor de ataque comum.
Tal como se observa nesta investigação, é provável que a informação roubada pelo grupo Lazarus seja utilizada para aperfeiçoar os projetos de desenvolvimento de drones da Coreia do Norte.
Numa altura em que o panorama geopolítico está em mudança, com reflexo no aumento da ciberatividade, não é surpreendente que grupos alinhados com Estados-nação intensifiquem as suas campanhas de ciberespionagem como forma de adquirir conhecimento técnico que lhes proporcione uma vantagem competitiva ou tecnológica.
Consequentemente, as indústrias envolvidas devem permanecer vigilantes e investir de forma contínua na proteção dos seus equipamentos.
Deixe um comentário