De acordo com o Centro de Segurança Cibernética da Austrália, em 19 de junho, um grupo de “atores estatais” invadiu as redes australianas. E, uma das vulnerabilidades que eles exploraram está relacionada a ataques de malware com criptografia.
Em 24 de junho, foi realizado um relatório contendo 48 páginas, onde explicava-se que os atores de ameaças exploraram quatro vulnerabilidades críticas na interface do usuário da Telerik, incluindo o CVE-2019-18935. O CVE-2019-18935 foi alavancado recentemente pelo grupo de malware Blue Mockingbird para infectar milhares de sistemas com o XMRRig, um Monero (XMR) de mineração.
Semelhança ao Blue Mockingbird
Ainda que não tenha ficado claro no comunicado se os hackers poderiam ter instalado o malware durante o ataque cibernético em massa recente, esse é um medo real. Pois essa vulnerabilidade é a preferida pelos cibercriminosos por instalar aplicativos de mineração de criptomoedas em redes corporativas.
No comunicado, é destacado a vulnerabilidade CVE-2019-18935, o qual também possui semelhanças com o ataque do Blue Mockingbird. Ainda que não diga que esse mesmo grupo tenha participado do ataque cibernético atual contra a Austrália.
“Outras cargas úteis de exploração foram identificadas pelo ACSC mais comumente quando a tentativa do ator de um shell reverso não teve êxito. Isso inclui: uma carga útil que tentou executar um shell reverso do PowerShell; outra carga tentou executar o certutil.exe para baixar outra carga; e outra útil que executou malware binário (identificado neste comunicado como HTTPCore) anteriormente carregado pelo ator, mas que não tinha mecanismo de persistência; uma carga útil que enumera o caminho absoluto da raiz da web e grava esse caminho em um arquivo dentro da raiz da web.”
Hackers chineses por trás do ataque?
Aproximadamente 10 grupos de hackers chineses – alguns dos quais estão possivelmente envolvidos em atividades de espionagem e supostamente têm conexões com o governo da China – têm o malware PlugX entre suas armas, que foi um dos malwares identificados no relatório do governo australiano.
Ademais, foi sugerido por algumas autoridades australianas que a China poderia estar por detrás do ataque cibernético maciço, visto que as questões diplomáticas vêm aumentando entre ambos os países. Uma das hipóteses em questão, é que o ataque tenha sido realizado após a Austrália procurar uma investigação sobre a origem do vírus COVID-19. A investigação não foi bem vista pelos oficiais da China, por considerá-lo uma acusação “discriminatória” e responder com retaliação comercial contra o país oceânico.
O governo chinês negou todas as alegações.