Campanha de Ciberespionagem “A Máscara”– Brasil entre Maiores Alvos
16 de fevereiro de 2015Neste artigo, trazemos um assunto recente e muito comentado entre os especialistas, envolvendo um novo tipo de ciberespionagem que incluiu o Brasil entre os principais alvos. Uma empresa russa de software de segurança em informática descobriu o que chamou de a primeira campanha de espionagem cibernética provavelmente iniciada por país de língua espanhola, tendo como alvo agências governamentais, empresas de energia e ativistas no Brasil e em outros 30 países. Apelidada de “A Máscara”, a empresa denominou a operação com este nome devido à palavra “Careto”[1] , que aparece no malware (código malicioso) que a difunde.
Cabe aqui uma reflexão. Vários motivos nos fazem acreditar que isso poderia ser uma campanha patrocinada por um estado-nação. Em primeiro lugar, observou-se um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás do ataque. Desde a gestão de infraestrutura até o encerramento, a operação de espionagem fez de tudo para evitar olhos curiosos, até mesmo o uso de regras de acesso e o emprego de limpeza (wiping) em vez de deleção de arquivos de log. Além disto, foi considerada uma das operações de ciberespionagem globais mais avançadas até hoje, devido à complexidade do conjunto de ferramentas adotadas pelos invasores – um kit de ferramentas de malware (um rootkit, um bootkit) multiplataforma. Atuando ao menos desde 2007 sem ser detectada, infectou mais de 380 alvos, tendo parado em Jan2014, segundo o Laboratório da Kaspersky, em Moscou.
A empresa se recusou a identificar o governo suspeito de estar por trás da espionagem cibernética, mas disse que a campanha tinha sido mais ativa no Marrocos, seguido pelo Brasil, Reino Unido, França e Espanha – nesta ordem. O suposto envolvimento de uma nação de língua espanhola é incomum, uma vez que as mais sofisticadas operações de espionagem cibernética descobertas até agora têm sido atribuídas aos Estados Unidos, China, Rússia e Israel.
Os técnicos da Kaspersky disseram que a descoberta da “Máscara” sugere que mais países se tornaram adeptos da ciberespionagem na Internet. Eles só depararam com a operação porque o malware infectou o próprio software da Kaspersky. Eles afirmaram que “A Máscara” usa um código malicioso projetado para roubar documentos, configurações de redes privadas virtuais, chaves de criptografia e outros arquivos confidenciais, bem como assumir o controle total de computadores infectados. Disseram também que as operações infectaram computadores com o Windows (Microsoft) e o software MacOs (Apple), e dispositivos móveis com iOS (Apple) e Android (Google).
A Kaspersky disse que trabalhou com a Apple e outras empresas para encerrar alguns dos sites que controlavam a operação de espionagem. Entre outros itens, os hackers da “Máscara” aproveitaram uma falha onipresente e conhecida no software Flash da Adobe Systems, que permitiu a atacantes começarem a agir a partir do navegador web Google Chrome para o resto de cada computador alvo. A Adobe teria resolvido o problema ao lançar uma atualização para o Flash em abril de 2012 que consertou a vulnerabilidade.
Os atacantes da “Máscara” podem ter sido ajudados por um mercado cinzento em expansão, para comércio de falhas de software não reveladas e ferramentas para explorá-las. Tais falhas são conhecidas como exploits “zero-day”, uma vez que os fabricantes de softwares afetados não conhecem o perigo. Compradores de “zero-day” muitas vezes deixam as vulnerabilidades de software não corrigidas para implantar o software espião. Especialistas em segurança estão cada vez mais preocupados com o mercado de “zero-day”, onde governos, inclusive os EUA, são compradores ativos.
Em nosso próximo artigo, abordaremos este mercado cinzento e onde ele mais se prolifera, na Web Oculta ou Profunda (Deep Web). Aguardem, queridos leitores, e até lá. Bons ventos!
[1] Alusão a um personagem mascarado do carnaval em Trás-os-Montes e Alto Douro, em Portugal, que usa máscara com nariz saliente, feita de couro, latão ou madeira pintada com cores vivas.
Sobre Paulo Pagliusi
· Diretor de Cyber Risk Services na Deloitte;
· Ph.D. in Information Security – University of London;
· Mestre em Ciência da Computação pela UNICAMP;
· Pós-Graduado em Análises de Sistemas, pela PUC – RJ;
· Vice-Presidente da ISACA (Information Systems Audit and Control Association) Rio de Janeiro;
· Vice-Presidente da CSABR (Cloud Security Alliance Brasil);
· Colunista CryptoID.