Outubro Vermelho: entenda como age a extensa rede de malware
A rede de malware Outubro Vermelho (Red October) é uma das operações de espionagem mais extensas que já foram descobertas. Esta é a conclusão da Kaspersky Lab, que identificou a operação em outubro de 2012 – por isso o nome escolhido.
Curta, no Facebook, a Fan Page do IT Web
“O foco primário desta campanha são países do leste europeu, antigas repúblicas soviéticas e países da Ásia central, apesar de as vítimas serem encontradas em todos os lugares, inclusive na Europa ocidental e na América do Norte”, de acordo com a empresa de segurança.
Os invasores, que aparentam falar russo mas utilizaram alguns softwares baseados em chinês, parecem ter focado seus esforços em roubar informações diplomáticas e governamentais, assim como pesquisa científica, não somente de PCs e servidores, mas também de dispositivos móveis. Os ataques do tipo começaram em 2007, e permaneceram ativos pelo menos até o último domingo (20/01). A família de malware usada nos ataques é chamada Sputnik.
“De acordo com o nosso conhecimento, nunca na história [da segurança da informação] uma operações de espionagem foi analisada com tanta profundidade de detalhe, com o foco nos módulos usados para a invasão e na transmissão de dados”, disse a companhia.
Mas estudar um intento como o Outubro Vermelho, que foi desenhado para roubar dados de alvos específicos – pegando números únicos de ID das pessoas e em alguns casos, os módulos de malware haviam sido produzidos especificamente para aquele alvo – é complicado. Isso porque os pesquisadores não podem ver os dados que foram roubados ou recuperar cada módulo de ataque.
Desta forma, analistas da companhia determinaram que brincariam de vítima. “Para contornar essa questão, inventamos diversas vítimas ao redor do mundo e monitoramos como os invasores lidavam com elas ao longo de vários meses”, ele disse. “Isso permitiu que coletássemos milhares de módulos de ataques e ferramentas. Além disso, identificamos muitos outros módulos utilizados em outros ataques, que nos permitiu ter uma visão singular sobre o ataque”, pontuou.
Os ataques do Outubro Vermelho foram lançados por meio de e-mails spear-phising com anexos carregando “nomes atraentes”, disseram dos pesquisadores. “Os anexos recuperados até agora eram arquivos maliciosos de Excel e Word, apesar dos invasores utilizarem também a conhecida exploração Rhino, para bugs de Java, descoberta em 2011. Independentemente do ataque, o objetivo é infectar um sistema-alvo com o backdoor conhecido como Sputnik.
Para deixar as coisas clara, a Kaspersky Lab explicou que o Sputnik não é tão avançado quando o malware Flame, que foi o primeiro descoberto, e o qual foi reportado como parte de um programa de ciberarmas dos Estados Unidos.
Vale citar que a operação descoberta é extensiva, e invasores desenharam e customizaram mais de mil módulos e ferramentas, que eles poderiam instruir qualquer sistema infectado com o Sputini a fazer o download. Para ajudar a analisar todos esses diferentes ataques, a companhia fez um agrupamento em nove categorias: reconhecimento (para obter informação assim que houver a infecção), senha (para roubar senhas), e-mails (para roubo de mensagens), USB drives (monitorar e roubar dados), teclado (registrar as teclas digitadas), persistência (plantar plug-ins maliciosos em aplicações como Microsoft Office e Adobe Reader); divulgação (procurar por novos alvos em uma rede local); mobilidade (pegar dados de smartphones e outros dispositivos conectados ao PC), e envio (transferir todos os dados coletados para servidores de comando e controle).
Pesquisadores ainda precisam recuperar amostras de todos os módulos que foram utilizados na operação. Por exemplo, um módulo de infecção USB ainda não foi recuperado. “Suspeitamos que ele seja capaz de infectar storage removível, rodando módulos arbitrários de outros grupos e salvando dados de volta para os dispositivos”, disseram. Não há dúvida de que mais pistas serão coletadas.
Saiba mais:
Kaspersky Lab descobre maior ciberarma de todos os tempos
Ciberarmas são futuro das ameaças
Lista: conheça as cinco principais fontes de ameaças
Vírus Stuxnet e Duqu foram criados em 2007, diz pesquisa
