Recentemente, o governo dos EUA expôs o malware de vigilância chinês “TAIDOOR”, que é usado secretamente pelo governo chinês há uma década.
Houve um aviso conjunto no TAIDOOR que foi revelado pelo departamento de segurança cibernética da Segurança Interna (DHS) e pela Agência de Segurança de Infraestrutura (CISA), pelo Federal Bureau of Investigations (FBI) e pelo Comando Cibernético do Departamento de Defesa (CyberCom).
Todos alegaram que foi detectada uma violação de segurança recente e, neste caso, o hacker identificado pertence à China; e TAIDOOR é um código geralmente usado pelo VirusTotal.
Além disso, existe uma possibilidade muito elevada de que intervenientes do governo chinês estejam a praticar alternativas de malware em associação com diferentes servidores proxy para manterem uma presença nas redes das vítimas e para avançarem ainda mais na exploração da rede.
O comando CYBERCOM dos EUA tuitou que o malware TAIDOOR da China tem negociado sistemas desde 2008. Este malware é geralmente usado contra agências governamentais, corporações e grupos de reflexão, principalmente aqueles com interesse em Taiwan.
“O FBI tem grande confiança de que os atores do governo chinês estão usando variantes de malware em conjunto com servidores proxy para manter uma presença nas redes das vítimas e para aumentar a exploração da rede. CISA, FBI e DoD estão distribuindo este MAR para permitir a defesa da rede e reduzir a exposição às atividades cibernéticas maliciosas do governo chinês.”
TAIDOOR – Um malware usado pelo governo chinês.
O TAIDOOR está em uso desde 2008, mas sua variante anterior foi detectada nos anos de 2012 e 2013. Recentemente, as três agências governamentais dos EUA declararam que detectaram que o TAIDOOR está sendo usado em novos ataques.
TAIDOOR é geralmente usado para instalar diferentes malwares junto com os servidores proxy para que eles possam ocultar a fonte real do operador do malware.
Este novo malware chamado TAIDOOR tem variantes para sistemas de 32 e 64 bits e é instalado nos sistemas da vítima como auxílio ao nome da biblioteca de vínculo dinâmico (DLL).
Esta DLL inclui dois outros arquivos; o arquivo inicial é um carregador, que é inaugurado como serviço. O trabalho do carregador é descriptografar o segundo arquivo e colocá-lo na memória, que é o centro do Trojan de acesso remoto (RAT).
Depois de instalar o RAT, este serviço permite que os agentes da ameaça obtenham acesso aos sistemas infectados e exfiltrem dados ou instalem outro malware.
Recomendações CISA
As três agências governamentais dos EUA declarado um relatório conjunto de análise de malware (MAR), sugeriu alguns métodos de moderação, e aqui estão as recomendações oferecidas pela CISA:-
- Sempre mantenha os patches do sistema operacional atualizados.
- Reduza os serviços de compartilhamento de arquivos e impressoras.
- Mantenha o software antivírus atualizado.
- Implemente um sistema de senha seguro e realize alterações periódicas de senha.
- Restrinja a capacidade dos usuários de instalar e executar aplicativos de software indesejados.
- Permita um firewall individual nas estações de trabalho da agência e configure-o para rejeitar todas as solicitações de conexão indesejáveis.
- Faça uma varredura em todos os softwares baixados da Internet antes de executá-los.
- Gerencie a percepção situacional das ameaças mais avançadas e execute Listas de Controle de Acesso (ACLs) adequadas.
O Comando Cibernético dos EUA também revelou quatro amostras das alternativas de malware RAT recentemente identificadas no repositório de agregação de malware VirusTotal. Porém, a CISA afirmou que os usuários devem executar as etapas recomendadas com cuidado para que possam manter a rede do sistema segura e protegida.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
