Defensores de direitos digitais se infiltram em grupo de hackers

Enquanto analisava os domínios que os hackers usavam como servidores de comando e controle, ele fez uma descoberta surpreendente.

“Por mais de quatro meses, eles não perceberam que haviam esquecido de registrar um dos principais domínios listados em seu malware”, disse Quintin, pesquisador sênior de segurança do grupo de direitos digitais Electronic Frontier Foundation, ao TechCrunch.

Quintin percebeu rapidamente que, se pudesse registrar o domínio e assumir o controle dele – um mecanismo chamado sumidouro no jargão da segurança cibernética – ele poderia obter uma visão em tempo real das ações dos hackers e, mais importante, de seus alvos.

Ele disse que fez a descoberta no final do dia, mas imediatamente começou a “incomodar” os advogados da EFF para obter permissão para registrar o domínio e afundá-lo. No dia seguinte, Quintin recebeu luz verde e se infiltrou efetivamente na operação de hacking de Dark Caracal.

No momento em que este livro foi escrito, ele ainda estava monitorando furtivamente as atividades dos hackers. E até onde Quintin pode dizer, os hackers ainda não perceberam isso.

“Achei que talvez conseguiria alguns dias de informações para talvez uma ou duas semanas no máximo. Nunca pensei que receberia vários meses de informações”, disse ele.

Graças ao sumidouro, Quintin descobriu que os hackers atacaram mais de 700 computadores desde março do ano passado, principalmente na República Dominicana e na Venezuela.

O domínio que Quintin assumiu não era o servidor principal de comando e controle – era um dos três – mas ainda tinha um objetivo importante: baixar funcionalidades adicionais para o malware, chamado Bandook. Isso, no entanto, significava que Quintin não obtinha informações granulares sobre os alvos e suas identidades, além de endereços IP.

Além disso, quando decidiram assumir o controle do domínio de Dark Caracal, Quintin e seus colegas decidiram que não queriam coletar muitas informações pessoais.

“Queríamos ter certeza de que não estamos violando ainda mais a privacidade das pessoas que foram infectadas”, disse ele.

Com esse objetivo em mente, eles tomaram a decisão peculiar de colocar uma política de privacidade no site do sumidouro, que diz que a EFF “fará todos os esforços para anonimizar todos os dados coletados pelo SINKHOLE antes de publicar ou compartilhar ou dentro de um determinado período de tempo”. entre outras práticas destinadas a proteger as vítimas da campanha de hackers.

A EFF rastreia Dark Caracal desde 2015. Em 2020, Quintin e a diretora de segurança cibernética da EFF, Eva Galperin, publicaram um relatório sobre uma campanha de hackers focada em alvos libaneses. Os pesquisadores da EFF concluíram na época que a campanha de hacking foi a mando do governo libanês e a vincularam a uma campanha de 2016 no Cazaquistão.

O fato de ao longo dos anos o grupo ter visado diferentes vítimas em diferentes países fez com que os pesquisadores da EFF concluíssem que o Dark Caracal não é um grupo tradicional de hackers do governo, mas sim um grupo que os governos e talvez outras organizações contratam para hackear quem quer que estejam interessados.

“Achamos que eles são um grupo de mercenários cibernéticos, eles parecem ter trabalhado para vários estados-nação, incluindo o Líbano e o Cazaquistão. E agora parece que eles estão fazendo algum trabalho na América Latina”, disse Quintin. (Quintin e seus colegas não conseguiram determinar para quem Dark Caracal está trabalhando aqui.)

Os pesquisadores da EFF acreditam que Dark Caracal é o mesmo grupo por trás de uma campanha relatada pela empresa de segurança cibernética ESET em 2021, que visava computadores principalmente na Venezuela. Matias Porolli, pesquisador da ESET que trabalhou nesse relatório, disse ao TechCrunch que analisou a campanha atual quando Quintin lhe pediu ajuda. Porolli disse que concluiu que esta campanha recente está sendo executada pelo mesmo grupo que a ESET acompanhou em 2021.

Porolli, no entanto, disse não ter dados suficientes para concluir que a campanha de 2021 foi, de fato, conduzida por Dark Caracal. Uma das migalhas de pão que aponta para o Dark Caracal é o uso de um spyware – ou trojan de acesso remoto, comumente chamado de RAT – chamado Bandook.

“É o mesmo malware, Bandook, mas pode ser usado por grupos diferentes”, disse Porolli.

Cooper, no entanto, disse acreditar que o uso do mesmo malware é um link forte o suficiente, já que o Bandook não é de código aberto, nem parece estar disponível abertamente. Além disso, os hackers têm aprimorado lentamente o Bandook ao longo dos anos, adicionando diferentes funções ao spyware, sugerindo que eles são o mesmo grupo aprimorando suas próprias ferramentas.

E suas ferramentas e técnicas estão melhorando lentamente.

“Não estamos lidando exatamente com os melhores do mundo aqui. Mas independentemente disso, eles ainda fazem o trabalho. Eles claramente são capazes de realizar grandes campanhas e infectar muitos computadores”, disse Quintin. “Acho importante prestar atenção a esses médicos de ponta, porque eles estão trabalhando muito. E acho que eles estão trabalhando tanto quanto os caras mais conhecidos, como o NSO Group, e acho que eles são tão perigosos de uma maneira diferente.

A bola está agora no campo de Dark Caracal. Eles descobrirão que foram infiltrados agora que as ações de Quintin são públicas?

“Se eu fosse eles, estaria lendo o blog da EFF procurando meu nome”, disse Quintin rindo.

Fonte: techcrunch