Pesquisadores dos laboratórios da Blue Coat, empresa de tecnologia de segurança empresarial, realizaram a descoberta de um ataque global inédito, com estruturas altamente sofisticadas, com a finalidade de acessar e extrair informações confidenciais dos computadores das vítimas. Os alvos deste ataque incluem indivíduos em posições importantes e estratégicas: executivos em grandes empresas, em setores como petróleo, finanças e engenharia, além de oficiais militares, membros de embaixadas e funcionários de governos nos seguintes países: Venezuela, Paraguai, Rússia, Romênia, Turquia e Moçambique.
Os ataques começaram concentrados em alvos localizados principalmente na Rússia, mas posteriormente se espalharam para as demais localidades. O método da entrega dos malwares é feito via e-mails que contém arquivos maliciosos conhecidos como “cavalos de Tróia”.
Por conta das várias camadas utilizadas na concepção do malware, ele foi batizado de “Inception” (“Origem”, em português), fazendo referência ao filme de Christopher Nolan, estrelado por Leonardo DiCaprio, em que um ladrão se infiltra nos sonhos das vítimas para roubar segredos do seu subconsciente.
"Apesar de ser um ataque muito sofisticado, algumas medidas de precaução podem ser tomadas. A primeira delas é evitar abrir e-mails não solicitados e principalmente não executar anexos destes e-mails. Arquivos de Microsoft Word ou PDF, que parecem ser inofensivos, podem ser utilizados para ataques. Outra medida muito importante é sempre manter todos os softwares atualizados, sempre utilizar a vacina mais recente do seu fornecedor de anti-vírus, e no caso de dispositivos móveis, nunca instalar aplicativos desconhecidos ou oferecidos fora da das lojas oficiais de aplicativos”, aconselha Fábio Rosa, arquiteto de Soluções da Blue Coat.
Como funciona o “Inception”?
- Os ataques são direcionados a pessoas em cargos estratégicos, por meio de e-mails com arquivos que infectam seus sistemas quando abertos;
- Ao clicar no arquivo, um documento de Word se abre e o software é instalado sendo executado em segundo plano;
- O malware recolhe informações do sistema pela máquina infectada, incluindo a versão, nome do computador, nome de usuário, onde o processo está sendo executado, localização, bem como a unidade e volume de informações do sistema operacional do sistema;
- Todas as informações do sistema são criptografadas e enviadas para um serviço de armazenamento em nuvem sueco por meio de WebDAV, um protocolo de comunicação utilizado para edição e gestão de arquivos em servidores remotos. Estas ações escondem a identidade do atacante e ultrapassa muitos mecanismos de detecção atuais.
Os criminosos adicionaram ainda outra camada utilizada para mascarar suas identidades, aproveitando-se de uma rede de proxy composta por roteadores, na maioria baseados na Coreia do Sul, para sua comunicação de comando e controle. Acredita-se que os atacantes foram capazes de comprometer estes dispositivos com base nas configurações inseguras ou credenciais padrão. É evidente que os hackers por trás do “Inception” querem permanecer anônimos.
Os pesquisadores dos Laboratórios da Blue Coat descobriram recentemente que os hackers também criaram programas maliciosos para plataformas Android, Blackberry e dispositivos iOS para recolher informações de suas vítimas. Até então, a Blue Coat já observou mais de 60 provedores de serviços móveis, como China Mobile, O2, Orange, SingTel, T-Mobile e Vodafone, que eram alvo destas ameaças, mas provavelmente o número real de empresas é bem maior.
Ainda foram descobertos uma série de e-mails de phishing direcionados a alvos em indústrias por países:
- Finanças (na Rússia);
- Setor de Petróleo (na Romênia, Venezuela e Moçambique);
- Embaixadas / Diplomacia (Paraguai, Romênia e Turquia).
Antecedentes
Em março de 2014, a Microsoft divulgou informações sobre uma nova vulnerabilidade em Rich Text Format (RTF). Esta vulnerabilidade já havia sido explorada por hackers. No final de agosto, a Blue Coat identificou uma operação de malware espião para acionar a execução de códigos maliciosos, que alavancou um serviço de nuvem sueco chamado CloudMe.com, utilizado como a espinha dorsal de toda a sua infra-estrutura visível.
Quando a Blue Coat notificou a CloudMe.com sobre o abuso em seus serviços, a empresa foi prontamente prestativa, fornecendo uma grande quantidade de informações de log relacionadas ao ataque. É importante ressaltar que o CloudMe.com não espalhou ativamente conteúdos maliciosos,hackers apenas o utilizaram para armazenar seus arquivos.
Conclusão
Fica evidente que existe uma organização com muitos recursos e profissionais por trás dos ataques “Inception”, com objetivos precisos e intenções que poderiam se expandir e tornarem-se muito prejudiciais. O complexo ataque mostra sinais de uma vasta experiência em automação e programação, e o número de camadas que são utilizadas para proteger os componentes do ataque e ocultar a identidade dos agressores está bem avançado.
Atribuir um ataque é sempre difícil, e, neste caso, é extremamente difícil. Com base em suas características e definindo os envolvidos nos setores políticos, econômicos e militares, os atacantes poderiam ser desde uma nação com intuito de espionar estes indivíduos, ou até, eventualmente, ser elaborado por empresas privadas.
Para ler o relatório completo sobre o “Inception”, (em inglês), acesse:
