Berenice Taboada Díaz
Um grupo de hackers, provavelmente apoiado por um governo nacional desconhecido, atacou várias agências governamentais, embaixadas, representações diplomáticas e empresas de energia. Segundo pesquisadores da Kaspersky lab, há mais de cinco anos segue ativa a mais sofisticada, persistente e avançada campanha APT.
Revelada ontem durante a conferência corporativa Security Analist Summit, na República Dominicana, a ameaça é chamada de “Careta”.
Esta campanha é preocupante, pois demonstra muito claramente que os cibercriminosos estão cada vez mais qualificados, estão aprendendo e aprimorando o seu comércio e técnica para infectar e espionar objetivos específicos desde o ano de 2007. Segundo Costin Raiu, diretor da equipe Global Research na Analysis Team (GReAT) da Kaspersky Lab, se os cibercriminosos não tivessem tentando explorar uma vulnerabilidade corrigida em uma versão mais antiga de um produto da Kaspersky os pesquisadores nunca poderia tê-lo encontrado.
“Explorar produtos da Kaspersky é um plano muito imprudente”, disse Raiu em sua apresentação.
No entanto, as campanhas APT altamente sofisticadas como esta são geralmente projetadas para infectar as máquinas de indivíduos com acesso muito específico, neste caso, principalmente os de agências governamentais e empresas de energia. Em outras palavras, os cibercriminosos não estão interessados nos usuários normais. No entanto, não devemos estar pouco preocupados, porque os responsáveis pela campanha desligaram seus ataques poucas horas depois que a equipe da GReAT da Kaspersky Lab publicou uma descrição da campanha APT.
Os pesquisadores da Kaspersky detectaram quitaram mediante um processo chamado “Sinkholing” 90 domínios C&C utilizados pelos cibercriminosos; Raiu garantiu que, despois da publicação da informação sobre esta APT os criadores da Máscara desligaram tudo em 4 horas. O “Sinkholing” é um processo através do qual o pesquisador pode tomar o controle da botnet ou da infra-estrutura de comunicação de malwares e redirecionar o tráfego longe dos servidores maliciosos que controlam a campanha.
No entanto, Raiu disse que os cibercriminosos poderiam ressuscitar a operação e voltar muito rapidamente, sem muita dificuldade, se quisessem.
A campanha também é notável por várias razões. Por um lado, ela não parece ter qualquer conexão com a China, que é o lugar onde muitos desses tipos de ataques são acusados de ter se originado. Também é interessante porque as pessoas que dirigiram a campanha parece que são falantes de espanhol, o que é novo, mas não chega a ser surpreendente ou revelador , uma vez que a língua é a segunda mais falada no mundo, depois do mandarim, com quase 400 milhões de pessoas. Além disso, a maioria dos objetivos da campanha também é de língua espanhola, embora tenha sido localizada em mais de 30 países.
Além disso, o grupo diz ter tido em seu arsenal um malqare para ataque de zero-day e versões do malware Máscara capazes de infectar máquinas que executam o Mac OS X, Linux e, talvez, até mesmo dispositivos móveis que suportam iOS e Android . Rau afirmou que ao menos uma vítima em Marrocos tinha um dispositivo capaz de se comunicarcom a infraestrutura de C&C através de uma rede móvel 3G.
“Os que estão por trás desta campanha são melhores que o grupo responsável pela “Chama” porque sabem gerir melhor suas infraestruturas”, disse Raiu. “A velocidade de ação e o profissionalismo alcançam um nível que nunca vimos até agora”.
Como ponto de referência, “Chama” é outra campanha APT descoberta por pesquisadores da Kaspersky em 2012. Ela atacou países do Oriente Médio e foi muito sofisticada porque gerava certificados digitais fraudulentos que parecem vir diretamente da Microsoft.
Como ocorreram casos similares, os cibercriminosos da “Máscara” atacaram suas vítimas através de e-mail de phishing, que levavam a sites maliciosos onde os exploits são hospedados. A única maneira para acessar estas páginas era através dos links enviados às vítimas.
Segundo Raiu, os cibercriminosos tinham muitas ferramentas à sua disposição, incluindo os implantes que permitiram entrar nas máquinas das vítimas, interceptar todos os protocoles TCP e UDP em tempo real (são dois diferentes protocolos de comunicação através do qual viajam pela Internet) e permanecem invisível na máquina comprometida. Raiu disse que todas as comunicações entre as vítimas e os servidores C&C foram criptografados.
Tradução: Berenice Taboada Díaz
Dicas