Segundo a ESET, o grupo hackers Donot Team está a atacar alvos militares e governamentais

O grupo Donot Team opera sobretudo na Ásia
ESET
Imagem - ESET

A empresa de soluções de segurança informática ESET, anunciou hoje que os seus investigadores descobriram campanhas de ciberataques realizadas pelo grupo “Donot Team” (também conhecido por APT-C-35 e SectorE02), tendo como alvo instalações militares e governamentais em países asiáticos.

De acordo com os investigadores da ESET, as actividades deste grupo são bastante persistentes e têm consistentemente tido como alvo as mesmas organizações desde há dois anos – pelo menos.

De acordo com a telemetria da ESET, que seguiu as actividades do Donot Team durante mais de um ano, desde Setembro de 2020 a Outubro de 2021, este grupo APT focou-se num pequeno número de alvos, sobretudo em países do sul do continente asiático, nomeadamente Bangladesh, Sri Lanka, Paquistão e Nepal.

Contudo, o ataque a embaixadas desses países noutras regiões, incluindo na Europa e nos Estados Unidos, não está fora do alcance do grupo. Estes ataques estiveram focados sobretudo em organizações militares e governamentais, ministérios dos Negócios Estrangeiros e embaixadas e são motivados por ciberespionagem.

O Donot Team, é um grupo que conduz ciberataques desde pelo menos 2016 e que é conhecido por ter como alvo organizações e indivíduos no Sul da Ásia com malware baseado em Windows e Android. Um estudo recente realizado pela Amnistia Internacional liga o malware deste grupo a uma empresa de cibersegurança indiana que poderá estar a vender spyware ou a oferecer os seus serviços de hacking aos governos na região.

“Temos seguido de perto as actividades do Donot Team e detectámos várias campanhas que tiram partido de malware Windows derivado do framework de malware yty típica do grupo,” explicou o investigador da ESET Facundo Muñoz, que dirigiu esta pesquisa.

Um dos factos interessantes desta investigação é que a análise de emails não denotou sinais de spoofing (falsificação). “Alguns emails foram enviados a partir das mesmas organizações que estavam a ser alvo de ataques. É possível que os atacantes tenham comprometido contas ou servidores de correio electrónico de algumas das suas vítimas em campanhas anteriores”, concluiu Muñoz.