SEGURANÇA NACIONAL SNB BRASIL

quarta-feira, 12 de fevereiro de 2014

DESVENDADA UMA COMPLEXA REDE DE CIBERESPIONAGEM MUNDIAL

Svetlana Savenkova

A empresa russa Kaspersky Lab desvendou uma campanha mundial de ciberespionagem. A rede global de cibercriminosos Careto operava durante cerca de 7 anos e causou danos a mais de 30 países ao redor do mundo, incluindo o Oriente Médio, Europa, África e América.
O objetivo principal dos malfeitores era coletar informações valiosas dos sistemas infectados, incluindo diversos documentos. Especialistas acreditam que as ações dos invasores visavam principalmente órgãos governamentais, representações diplomáticas e ativistas políticos.
O Kaspersky Lab anunciou o desvendamento da rede mundial de espionagem cibernética Careto, organizada por criminosos de língua espanhola. Os rastros encontrados indicam que a operação começou pelo menos em 2007. Ela se destaca pela complexidade do arsenal de elementos de ataque. Ele inclui uma série de malwares altamente sofisticados desenvolvidos para várias plataformas, incluindo sistemas operacionais produzidos pela Apple, o Linux e possivelmente sistemas operacionais móveis.
As ações dos malfeitores visavam principalmente organizações governamentais, representações diplomáticas e embaixadas, empresas de energia e de petróleo e gás, organizações de investigação e ativistas políticos. O principal especialista em antivírus do Kaspersky Lab, Vitali Kamlyuk, acredita que o ciberbando teve grandes patrocinadores:
“Várias razões nos levam a pensar que esta campanha pode ter apoio estadual. Primeiro de tudo, nós observamos um nível extremamente alto de profissionalismo nas ações do grupo, que monitora a sua própria infraestrutura, esconde-se com ajuda de regras de sistema de controle de acesso, apaga completamente o conteúdo de ficheiros de log em vez de removê-los como habitualmente e, se necessário, para qualquer ação. Tal nível de autodefesa não é típico para cibercriminosos”.
O contagio de usuários acontecia através de envio de e-mails de phishing. Ou seja de mensagens eletrônicas contendo um link para uma página falsa, onde os fraudadores tentavam por vários métodos fazer o usuário inserir na página falsa o login e senha que ele usa para acessar um determinado site, o que permite aos malfeitores obter acesso às contas de usuário e contas bancárias. Em caso de tentativa de infecção bem-sucedida, o site malicioso redirecionava os usuários para o recurso inofensivo mencionado no e-mail – que podia ser o YouTube ou um portal de notícias.
Os próprios sites maliciosos não infetavam os usuários automaticamente em caso de acesso direto só com o nome do site. Os malfeitores guardavam os programas atacantes em diretórios separados, links para os quais apareciam apenas nos emails: e só clicando neles é que usuários eram atacados. Às vezes, nesses sites os atacantes usavam parte do nome do site para que endereços completos parecessem mais verídico ou imitassem seções de jornais populares espanhóis, assim como vários internacionais – The Guardain e Washington Post.
O principal objetivo dos atacantes era coletar informações valiosas de sistemas infectados, incluindo diversos documentos, chaves de criptografia, bem como ficheiros usados por programas para fornecer acesso remoto ao computador. Vitali Kamlyuk está certo de que a infecção poderia levar a consequências catastróficas para as vítimas:
“O software malicioso intercepta todos os canais de comunicação e recolhe as informações mais importantes do computador do usuário. A detecção da infecção é extremamente difícil por causa de mecanismos de ocultação disponíveis no rootkit e módulos adicionais de espionagem cibernética existentes. Além das funções embutidas os atacantes podiam injetar em computadores infectados módulos que permitem executar uma série de quaisquer ações maliciosas”.
Atualmente os produtos do Kaspersky Lab detectam e removem todas as versões conhecidas de programas do Careto. No entanto, não podemos dizer que os atacantes foram parados completamente. Enquanto essas pessoas estão em liberdade, eles vão tentar realizar seus ataques novamente. Atualmente, seus servidores estão desligados, e os dados foram apagados, o que irá proteger um grande número dos que já foram vítimas de seus ataques. No entanto, para parar os criminosos definitivamente é necessária cooperação internacional de agências de aplicação da lei.
SEGURANÇA NACIONAL BLOG,,,SNB