A fabricante de antivírus Trend Micro publicou mais informações sobre um ataque hacker sofisticado que tinha apenas organizações e instituições governamentais da Coreia do Sul como alvos. Batizada de "Heartbeat", a onda de ataques pode ter iniciado em 2009 e foi descoberta apenas em junho de 2012 com a análise de um computador de um jornal sul-coreano.

O nome da campanha de ataque, "Heartbeat", foi retirado de um trecho existente dentro de um dos arquivos maliciosos encontrados.
De acordo com a Trend Micro, não é possível determinar a origem dos ataques. Embora alguns dos arquivos contenham palavras em chinês, os programadores também se demonstraram "confortáveis com o uso do inglês". É possível que dois grupos sejam responsáveis pelo ataque: um deles como idealizador, e outro contratado para o desenvolvimento do ataque em si.

A Trend Micro também não nomeou nenhum alvo específico da campanha, mas afirmou que eles incluem partidos políticos, órgãos de imprensa, um instituto de pesquisa de políticas nacionais, um departamento do exército, uma empresa de pequeno porte e departamentos do governo da Coreia do Sul.

Os arquivos provavelmente chegavam às vítimas por e-mail com ícones falsos, ou seja, exibiam ícones de fotos ou documentos, apesar de serem programas. Uma vez abertos, exibiam ao usuário algum documento ou foto para camuflar a instalação do vírus. Em um dos casos, segundo a Trend Micro, uma foto pornográfica foi exibida; em outros, um documento de texto no formato HWP, padrão do governo sul-coreano, foi exibido.

O software instalado tentava se comunicar com diversos servidores pré-determinados pelos invasores. Foram identificadas 19 campanhas e 12 domínios de internet diferentes aos quais o vírus era capaz de se conectar para comunicar aos invasores que um sistema foi comprometido e dar a eles o acesso remoto a qualquer arquivo no computador.

Ainda de acordo com a companhia antivírus, não foi possível identificar qualquer relação deste ataque com outros ataques direcionados.

Na Ásia, diversas outras companhas de ataque já foram identificadas, algumas com alvos em mais de um país. Entre elas a Luckycat, que mirou empresas dos que atuavam em nos setores aéreo, bélico, engenharia e de transporte, no Japão e também na Índia, e ativistas do Tibete, enquanto a campanha chamada de "IXESHE" atacou governos do leste asiático e fabricantes de eletrônicos em Taiwan. A campanha Heartbeat, no entanto, foi encontrada apenas na Coreia do Sul, semelhante à campanha Taidoor, que teve alvos apenas em Taiwan.

Fonte: G1