Para quem tem uma presença ativa no LinkedIn é comum aproveitar a rede social para fazer networking virtual e trocar mensagens profissionais que poderão abrir a porta a novas possibilidades na carreira. Porém, já diz o ditado, “as aparências iludem” e a mais recente campanha de ciberespionagem descoberta pela ESET revela que uma simples mensagem tem o potencial para conseguir atacar o “coração” de uma empresa.

À plateia do ESET Virtual World 2020, Jean-Ian Boutin, Head of Threat Research na ESET Canadá, explicou que entre setembro e dezembro de 2019, foram detetados vários ataques que tinham como alvo empresas aeroespaciais e militares na Europa e no Médio Oriente.

A Operação In(ter)ception, conseguiu descobrir, em colaboração com a Collins Aerospace e a General Dynamics, duas das organizações visadas, uma trama repleta de táticas de engenharia social avançadas e de software malicioso concebido para passar despercebido pelos olhos de utilizadores mais incautos.

Os atacantes faziam-se passar por membros do departamento de recursos humanos das empresas e faziam chegar às vítimas a promessa de um cargo. Caso acedessem ao pedido, receberiam instruções para abrir ficheiros enviados através do sistema de mensagens do LinkedIn, ou por email.

O investigador da ESET destacou a utilização de linguagem com um tom imperativo por parte dos atacantes, pressionando a vítima a usar um determinado tipo de browser para abrir os documentos e a voltar a tentar quando os resultados não eram os pretendidos.

Ao abrir os ficheiros em questão, o utilizador deparava-se com um documento PDF com informações acerca da suposta oferta de trabalho. Sem que soubesse, o seu computador já estava a ser infetado com malware.

Operação In(ter)ception: Como uma mensagem no LinkedIn consegue esconder uma rede de ciberespiões
Operação In(ter)ception: Como uma mensagem no LinkedIn consegue esconder uma rede de ciberespiões créditos: ESET

Através do malware que tirava partido de ferramentas do Windows e software legítimo instalado no computador, os ciberespiões conseguiam, por exemplo, consultar o Active Directory para aceder a dados das empresas a que as vítimas pertenciam, incluindo listas de funcionários e contas dos administradores. Assim que conseguissem obter o que desejavam, os atacantes arquivavam os dados recolhidos, limpavam o rasto pelo caminho e eliminavam os perfis de LinkedIn falsos.

Uma trama que se estende além da ciberespionagem

WannaCry: Kaspersky e Symantec estabelecem ligações com código norte-coreano
WannaCry: Kaspersky e Symantec estabelecem ligações com código norte-coreano
Ver artigo

De acordo com Jean-Ian Boutin, o método de atuação dos ciberespiões sugere uma possível ligação com o Lazarus Group, o conjunto de hackers norte-coreanos que poderá estar por trás do ransomware WannaCry. O investigador sublinhou, porém, que não é claro se os grupos partilham as mesmas intenções. Além disso, deixar provas falsas para atirar as culpas a outros criminosos informáticos e baralhar os especialistas costuma ser uma prática comum no mundo do cibercrime.

Para lá da espionagem, os atacantes tentaram ainda usar as contas comprometidas para levar a cabo esquemas de phishing. O especialista da ESET recordou que os criminosos encontraram mensagens acerca de uma fatura no email de uma das empresas visadas e tentaram usá-las, sem sucesso, como pretexto para tentar extorquir somas avultadas a um cliente.

Ao que tudo indica, a Operação In(ter)ception está longe de terminar, pois a ameaça continua ativa e, para já, ainda não há certeza se os atacantes conseguiram, de facto, fazer algo com os dados roubados. Jean-Ian Boutin esclareceu que os investigadores estão a acompanhar todos os passos dos criminosos e, uma coisa é certa, a ESET tem vindo a detetar mais incidentes do género do que no passado.

O que as empresas podem fazer para se manter protegidas?

É certo que, devido à pandemia de COVID-19, o mundo do cibercrime está a aproveitar-se dos novos estilos de vida mais digitais, incluindo das empresas que adotaram estratégias de teletrabalho.

Apenas 34% dos funcionários a trabalhar em casa receberam informação sobre como se manter seguros
Apenas 34% dos funcionários a trabalhar em casa receberam informação sobre como se manter seguros
Ver artigo

Recorde-se que um recente estudo pôs em evidência que apenas 34% dos funcionários de pequenas empresas receberam informações sobre como trabalhar em segurança durante o período de isolamento social. A questão torna-se ainda mais problemática quando 35% dos inquiridos admitiram que começaram a guardar mais dados sensíveis nos seus equipamentos pessoais.

A cibersegurança não deve ser posta em segundo plano, e além de investimentos em software que seja capaz de proteger todo o sistema informático, Jean-Ian Boutin sublinhou que a consciencialização das equipas para as ameaças e esquemas fraudulentos mais comuns é essencial.

O responsável destacou ainda a importância do conhecimento de medidas básicas de segurança por parte de todos os funcionários, exemplificando que uma ação tão simples quanto a atualização dos sistemas operativos dos equipamentos da empresa é capaz de poupá-la de futuros problemas.