Luís Alberto
Caju
O Brasil sofre nova
ameaça de espionagem: criminosos de língua espanhola visam instituições
governamentais, de energia, empresas de petróleo e gás e outras vítimas de alto
nível através de um kit de ferramentas de malware multiplataformas
Ontem (11), a equipe de pesquisa de segurança da Kaspersky Lab anunciou a
descoberta do The Mask (mais conhecido como Careto), uma ameaça avançada de
língua espanhola que está envolvida em operações de ciberespionagem desde 2007.
O que torna o The Mask especial é a complexidade do kit de ferramentas usado
pelos criminosos. Isso inclui um malware extremamente sofisticado, um rootkit,
bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone).
Os principais alvos são instituições
governamentais, embaixadas e escritórios diplomáticos, companhias de energia;
óleo; e gás, organizações de pesquisa e ativistas. As vítimas desse ataque
dirigido foram encontradas em 31 países – do Oriente Médio e Europa à África e
Américas.
O objetivo dos criminosos é compilar
dados sensíveis dos sistemas infectados. Isso inclui além de documentos de
escritório, várias chaves de criptografia, configurações VPN, chaves SSH (com o
objetivo de identificar o usuário em um servidor SSH) e arquivos RDP
(utilizados pelo Remote Desktop Client para automaticamente abrir uma conexão
com um computador reservado).
“Vários motivos nos fazem acreditar que
isso poderia ser uma campanha organizada por um Estado. Em primeiro lugar,
observamos um alto grau de profissionalismo nos procedimentos operacionais do
grupo por trás deste ataque. Desde a gestão de infraestrutura até o
desligamento da operação, evitando os olhos curiosos através de regras de
acesso, utilizando a limpeza ao invés da exclusão de arquivos de log.
Estas precauções
combinadas colocam esse ataque APT à frente do Duqu em termos de sofisticação,
tornando-se uma das ameaças mais avançadas no momento", disse Costin Raiu,
diretor de Pesquisa e Análise Global da Kaspersky Lab. “Esse nível de segurança
operacional não é normal para os grupos de cibercriminosos".
Pesquisadores da Kaspersky Lab,
inicialmente, descobriram o The Mask no ano passado, quando observaram
tentativas de explorar uma vulnerabilidade em produtos da empresa que foram
corrigidos há cinco anos. O exploit possibilitou que o malware garantisse a
capacidade de evitar a detecção. É claro que esta situação levantou o interesse
dos pesquisadores e assim que a investigação começou.
Para as vítimas, uma infecção com o The
Mask pode ser desastrosa. O ataque intercepta todos os canais de comunicação e
coleta as informações mais importantes da máquina da vítima. A detecção é
extremamente difícil por causa de recursos furtivos de rootkit, funcionalidades
built-in e módulos de ciberespionagem adicionais.
Principais conclusões:
• Os autores parecem ser nativos na língua espanhola, o que raramente tem sido
observado em ataques APT.
• A campanha está ativa há pelo menos cinco anos até janeiro de 2014 (algumas
amostras de Careto foram compiladas em 2007). Durante o curso das investigações
da Kaspersky Lab, os servidores de comando e controle (C&C) foram fechados.
• Observaram-se, pelo menos, 380 vítimas únicas entre mais de 1.000 Ips.
Infecções foram observadas na: Alemanha, Argélia, Argentina, Bélgica, Bolivia,
Brasil, China, Colômbia, Costa Rica, Cuba, Egito, Espanha, Estados Unidos,
França, Guatemala, Gibraltar, Irã, Iraque, Líbia, Malásia, Marrocos, México,
Noruega, Paquistão, Polónia, Reino Unido, South África, Suíça, Tunísia, Turquia
e Venezuela.
• A complexidade e universalidade do conjunto de ferramentas usadas pelos
criminosos faz com que esta operação de ciber- espionagem seja muito especial.
Isso inclui exploits high-end, uma peça extremamente sofisticada de malware, um
rootkit, um bootkit, versões do Mac OS X e Linux e possivelmente versões para
iPad / iPhone (iOS). O The Mask também usou um ataque personalizado contra
produtos da Kaspersky Lab.
• Entre os vetores do ataque, pelo menos um Adobe Flash Player exploit
(CVE-2012-0773) foi usado. Ele foi projetado para versões do Flash Player
anteriores ao 10.3 e 11.2. Este exploit foi originalmente descoberto por VUPEN
e foi usado em 2012 para escapar do Sandbox do Google Chrome e ganhou o
concurso CanSecWest Pwn2Own.
Métodos
De acordo com a análise da Kaspersky
Lab, a campanha The Mask lança phising com links para um site malicioso. O site
malicioso contém uma série de exploits projetados para infectar o visitante,
dependendo da configuração do sistema. Depois da infecção, o site redireciona o
usuário para o site benigno referenciado no e-mail, que pode ser um filme do
YouTube ou um portal de notícias.
É importante notar o que os websites explorados não afetam automaticamente os
usuários; em vez disso, os atacantes guardam as façanhas em pastas específicas
no site, que não estão diretamente referenciados em qualquer lugar, exceto em
e-mails maliciosos. Às vezes, os criminosos usam subdomínios nos sites, para
fazê-los parecer mais real. Estes subdomínios simulam subseções dos principais
jornais na Espanha além de alguns internacionais, por exemplo, "The
Guardian" e "Washington Post".
As interceptações de malware em todos os
canais de comunicação recolhem as informações mais importantes a partir do
sistema infectado. A detecção é extremamente difícil por causa de recursos
rootkit. O The Mask é um sistema altamente modular, que suporta encaixes e
arquivos de configuração, que lhe permitem executar um grande número de
funções. Além de funcionalidades embutidas, os operadores do The Mask podem
carregar módulos adicionais que executariam qualquer tarefa maliciosa.