A Organização Internacional da Aviação Civil (ICAO ou OACI, siglas em inglês) foi vítima em 2016 de um ataque watering hole em grande escala. Na verdade, em novembro daquele ano, um analista de inteligência cibernética da Lockheed Martin entrou em contato com a organização internacional após descobrir que os cibercriminosos assumiram o controle de dois de seus servidores.

Um ataque watering hole, como aquele usado para afetar a ICAO, consiste em usar um site frequentado pelo alvo através do uso de um exploit. De acordo com o analista da Lockheed Martin, este ataque pode representar uma "ameaça significativa para a indústria da aviação".

Esse ciberataque foi ligado ao grupo APT LuckyMouse, também conhecido como Emissary Panda, APT27 e Bronze Union.

Depois de falar com a Lockheed Martin, a ICAO solicitou que um analista externo avaliasse o ataque. A análise preliminar realizada pela Secureworks revelou outros problemas. Conforme relatado pela Radio-Canada (artigo em francês), a análise indicou que o ataque foi além do incidente, inicialmente observado em dois servidores da organização, e que o incidente também afetou "as contas dos servidores de email, o administrador do domínio e do sistema de administrador".

Nas semanas após o ataque, os invasores também comprometeram a conta de email de um delegado da ICAO para enviar mensagens. No entanto, os relatórios produzidos pela imprensa sobre o ataque não indicam se ambos os incidentes estão vinculados.

Alguns problemas de comunicação e cooperação dentro da organização internacional parecem ter causado atrasos na análise abrangente realizada pela Secureworks sobre o ataque realizado, incluindo a descriptografia de um servidor de email infectado, um passo importante para avisar os usuários cuja segurança e dados podem ter sido comprometidos.

Depois que esse servidor foi descriptografado, os analistas puderam vincular esse ataque a uma conta interna da organização. No entanto, é impossível determinar se essa conta foi comprometida pelo ataque.

Sobre o grupo LuckyMouse

Segundo o pesquisador de malware da ESET, Matthieu Faou, o grupo LuckyMouse é especializado em ataques watering hole. “Esse grupo APT varre a Web em busca de servidores vulneráveis. Esses servidores afetados podem permitir que novas vítimas sejam comprometidas no futuro”, explicou.

O especialista acrescenta que o grupo LuckyMouse usa várias ferramentas para atingir suas vítimas, muitas vezes localizadas na Ásia Central e no Oriente Médio. “Além de usar ferramentas genéricas relativamente acessíveis na Web, o grupo desenvolveu ferramentas proprietárias, incluindo um rootkit. No ano passado, eles roubaram um certificado digital que pertencia a uma empresa legítima e usaram para assinar seu rootkit”, destacou o pesquisador.

De acordo com José Fernández, especialista em cibersegurança e professor da Polytechnique Montréal, “a ICAO é uma opção natural” para a ciberespionagem, um tipo de campanha com a qual é frequentemente associada ao grupo LuckyMouse. “A agência torna-se assim uma janela aberta para ataques de outros participantes da indústria aeroespacial”, explicou o especialista.

Anthony Philbin, chefe de comunicações da ICAO, tranquilizou o público depois que alguns detalhes sobre esse ciberataque foram divulgados. E depois do relatório produzido pela CBC disse: “Não estamos cientes das graves consequências em termos de cibersegurança que este incidente teria representado para parceiros externos...”, acrescentando que, desde o ataque, “a ICAO fez melhorias significativas em seu quadro de cibersegurança e na abordagem para mitigar outros incidentes”.

Em qualquer caso, esse incidente destaca a importância de uma resposta rápida e coordenada quando uma empresa enfrenta um ciberataque. O desenvolvimento de um plano de resposta para incidentes de cibersegurança deve agora ser o centro do planejamento geral de segurança de qualquer empresa. Especialmente para grandes organizações, embora seja um exercício que qualquer empresa deveria realizar.