Translate

28 abril 2014

A Máscara - Ciberespionagem na Nuvem

Campanha de Ciberespionagem “A Máscara” (Careto)– Brasil entre os maiores alvos
Neste artigo, trazemos um assunto muito comentado entre os especialistas, envolvendo um novo tipo de ciberespionagem que incluiu o Brasil entre os principais alvos. Uma empresa russa de software de segurança em informática descobriu o que chamou de a primeira campanha de espionagem cibernética provavelmente iniciada por país de língua espanhola, tendo como alvo agências governamentais, empresas de energia e ativistas no Brasil e em outros 30 países. Apelidada de “A Máscara”, a empresa denominou a operação com este nome devido à palavra “Careto” (alusão a um personagem mascarado do carnaval em Trás-os-Montes e Alto Douro, em Portugal, que usa máscara com nariz saliente, feita de couro, latão ou madeira pintada com cores vivas), que aparece no malware (código malicioso) que a difunde.
Cabe aqui uma reflexão. Vários motivos nos fazem acreditar que isso poderia ser uma campanha patrocinada por um estado-nação. Em primeiro lugar, observou-se um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás do ataque. Desde a gestão de infraestrutura até o encerramento, a operação de espionagem fez de tudo para evitar olhos curiosos, até mesmo o uso de regras de acesso e o emprego de limpeza (wiping) em vez de deleção de arquivos de log. Além disto, foi considerada uma das operações de ciberespionagem globais mais avançadas até hoje, devido à complexidade do conjunto de ferramentas adotadas pelos invasores – um kit de ferramentas de malware (um rootkit, um bootkit) multiplataforma. Atuando ao menos desde 2007 sem ser detectada, infectou mais de 380 alvos, tendo parado em Jan2014, segundo o Laboratório da Kaspersky, em Moscou.
A empresa se recusou a identificar o governo suspeito de estar por trás da espionagem cibernética, mas disse que a campanha tinha sido mais ativa no Marrocos, seguido pelo Brasil, Reino Unido, França e Espanha – nesta ordem. O suposto envolvimento de uma nação de língua espanhola é incomum, uma vez que as mais sofisticadas operações de espionagem cibernética descobertas até agora têm sido atribuídas aos Estados Unidos, China, Rússia e Israel.
Os técnicos da Kaspersky disseram que a descoberta da “Máscara” sugere que mais países se tornaram adeptos da ciberespionagem na Internet. Eles só depararam com a operação porque o malware infectou o próprio software da Kaspersky. Eles afirmaram que “A Máscara” usa um código malicioso projetado para roubar documentos, configurações de redes privadas virtuais, chaves de criptografia e outros arquivos confidenciais, bem como assumir o controle total de computadores infectados. Disseram também que as operações infectaram computadores com o Windows (Microsoft) e o software MacOs (Apple), e dispositivos móveis com iOS (Apple) e Android (Google).
A Kaspersky disse que trabalhou com a Apple e outras empresas para encerrar alguns dos sites que controlavam a operação de espionagem. Entre outros itens, os hackers da “Máscara” aproveitaram uma falha onipresente e conhecida no software Flash da Adobe Systems, que permitiu a atacantes começarem a agir a partir do navegador web Google Chrome para o resto de cada computador alvo. A Adobe teria resolvido o problema ao lançar uma atualização para o Flash em abril de 2012 que consertou a vulnerabilidade.
Os atacantes da “Máscara” podem ter sido ajudados por um mercado cinzento em expansão, para comércio de falhas de software não reveladas e ferramentas para explorá-las. Tais falhas são conhecidas como exploits “zero-day”, uma vez que os fabricantes de softwares afetados não conhecem o perigo. Compradores de “zero-day” muitas vezes deixam as vulnerabilidades de software não corrigidas para implantar o software espião. Especialistas em segurança estão cada vez mais preocupados com o mercado de “zero-day”, onde governos, inclusive os EUA, são compradores ativos.
Em nosso próximo artigo, abordaremos este mercado cinzento e onde ele mais se prolifera, na Web Oculta ou Profunda (Deep Web). Aguardem, queridos leitores do blog MPSafe, e até lá. Bons ventos!
Paulo Pagliusi

2 comentários:

  1. Pagliusi, parabéns pelo artigo. Há muito tempo não lia um artigo em português tão bem escrito.

    ResponderExcluir
  2. Obrigado, Haruo, pelo incentivo.

    ResponderExcluir