A empresa de segurança Kaspersky afirma ter descoberto uma das operações de ciberespionagem mais complexas já vista. A ameaça ataca diversas plataformas, incluindo Mac, Linux e -- possivelmente -- iOS (iPad e iPhone). Entretanto, seus principais alvos são instituições diplomáticas, governamentais e grandes empresas dos setores de petróleo e gás, não usuários comuns.
De acordo com o laboratório da companhia, o vírus -- conhecido como The Mask (ou Careto) -- chama a atenção por sua complexidade. A ameaça existe desde 2007 e permaneceu incógnita desde então. "O que torna o The Mask especial é a complexidade do kit de ferramentas usado pelos criminosos. Isso inclui um malware extremamente sofisticado, um rootkit, bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone)", informa a empresa em nota.
Analistas dizem que as vítimas do ataque dirigido foram encontradas em 31 países do Oriente Médio, Europa, África e Américas. Os alvos incluem instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia, organizações de pesquisa e grupos ativistas.
Em geral, o objetivo dos ataques é compilar dados sensíveis dos sistemas infectados. São documentos de escritório, chaves de criptografia, configurações VPN, chaves SSH (que servem para identificar o usuário em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client para automaticamente abrir uma conexão com um computador reservado).
“Vários motivos nos fazem acreditar que isso poderia ser uma campanha organizada por um Estado", informa Costin Raiu, diretor de Pesquisa e Análise Global da Kaspersky Lab. "Em primeiro lugar, observamos um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás deste ataque. Desde a gestão de infraestrutura até o desligamento da operação, evitando os olhos curiosos através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log", afirma.
O analista acrescenta: "Estas precauções combinadas colocam esse ataque APT à frente do Duqu em termos de sofisticação, tornando-se uma das ameaças mais avançadas no momento". Esse nível de segurança operacional não é normal para os grupos de cibercriminosos".
Os pesquisadores começaram a suspeitar do Careto no ano passado. As consequências para as vítimas desses ataques, lembra a Kaspersky, são desastrosas. Uma vez instalado, o vírus é capaz de interceptar todos os canais de comunicação e de roubar informações importantes que estejam no computador alvejado. Soluções de segurança comuns são incapazes de identificar o Careto. "A detecção é extremamente difícil por causa de recursos furtivos de rootkit, funcionalidades built-in e módulos de ciberespionagem adicionais", destaca a empresa na nota divulgada na última terça-feira (11).
Infecção
O método para invasão utilizado pelos criminosos é o phishing. A campanha lança links por e-mail direcionando para um site malicioso, que contém uma série de exploits projetados para infectar o visitante, dependendo da configuração do sistema. Depois da infecção, o site redireciona o usuário para o site benigno referenciado no e-mail, que pode ser um filme do YouTube ou um portal de notícias.
No entanto, a página de destino não é a que hospeda o malware. Os criminosos deixam o vírus em pastas específicas no site, na forma de subdomínios. Estes subdomínios simulam subseções dos principais jornais na Espanha além de alguns internacionais, por exemplo, "The Guardian" e "Washington Post". Quando o usuário clica nessas seções a máquina é infectada e, depois, é redirecionada para o site oficial.
O método para invasão utilizado pelos criminosos é o phishing. A campanha lança links por e-mail direcionando para um site malicioso, que contém uma série de exploits projetados para infectar o visitante, dependendo da configuração do sistema. Depois da infecção, o site redireciona o usuário para o site benigno referenciado no e-mail, que pode ser um filme do YouTube ou um portal de notícias.
No entanto, a página de destino não é a que hospeda o malware. Os criminosos deixam o vírus em pastas específicas no site, na forma de subdomínios. Estes subdomínios simulam subseções dos principais jornais na Espanha além de alguns internacionais, por exemplo, "The Guardian" e "Washington Post". Quando o usuário clica nessas seções a máquina é infectada e, depois, é redirecionada para o site oficial.
Danos
Estima-se que cerca de 380 pessoas tenham sido vítimas dos ataques -- que ainda continuam em operação, já que os criminosos não foram identificados. Infecções foram observadas na: Alemanha, Argélia, Argentina, Bélgica, Bolivia, Brasil, China, Colômbia, Costa Rica, Cuba, Egito, Espanha, Estados Unidos, França, Guatemala, Gibraltar, Irã, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polônia, Reino Unido, South África, Suíça, Tunísia, Turquia e Venezuela.
As interceptações de malware em todos os canais de comunicação recolhem as informações mais importantes a partir do sistema infectado. A detecção é extremamente difícil por causa de recursos rootkit. O The Mask é um sistema altamente modular, que suporta encaixes e arquivos de configuração, que lhe permitem executar um grande número de funções. Além de funcionalidades embutidas, os operadores do The Mask podem carregar módulos adicionais que executariam qualquer tarefa maliciosa.
Estima-se que cerca de 380 pessoas tenham sido vítimas dos ataques -- que ainda continuam em operação, já que os criminosos não foram identificados. Infecções foram observadas na: Alemanha, Argélia, Argentina, Bélgica, Bolivia, Brasil, China, Colômbia, Costa Rica, Cuba, Egito, Espanha, Estados Unidos, França, Guatemala, Gibraltar, Irã, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polônia, Reino Unido, South África, Suíça, Tunísia, Turquia e Venezuela.
As interceptações de malware em todos os canais de comunicação recolhem as informações mais importantes a partir do sistema infectado. A detecção é extremamente difícil por causa de recursos rootkit. O The Mask é um sistema altamente modular, que suporta encaixes e arquivos de configuração, que lhe permitem executar um grande número de funções. Além de funcionalidades embutidas, os operadores do The Mask podem carregar módulos adicionais que executariam qualquer tarefa maliciosa.
Criminosos
Não há muitas pistas sobre quem está por trás do Careto. Trechos do código em espanhol indicam que os agentes podem pertencer a algum país hispânico, mas essa pode ser uma tática utilizada para despistar investigadores. De acordo com a Kaspersky, uma operação com esse nível de sofisticação é mais provável de ser executada por nações, e não por hackers comuns.
A Kaspersky destaca que o objetivo não é espalhar o malware na rede. O Careto tem alvos definidos e específicos, o que reforça a possibilidade de um país ou uma grande organização criminosa estar por trás da ameaça.
Não há muitas pistas sobre quem está por trás do Careto. Trechos do código em espanhol indicam que os agentes podem pertencer a algum país hispânico, mas essa pode ser uma tática utilizada para despistar investigadores. De acordo com a Kaspersky, uma operação com esse nível de sofisticação é mais provável de ser executada por nações, e não por hackers comuns.
A Kaspersky destaca que o objetivo não é espalhar o malware na rede. O Careto tem alvos definidos e específicos, o que reforça a possibilidade de um país ou uma grande organização criminosa estar por trás da ameaça.
Fonte: Kaspersky - administradores
Vírus altamente complexo rouba informações de grandes empresas e governos
Reviewed by Consultor de Segurança Eletrônica
on
05:23:00
Rating:
Nenhum comentário: