Fabricante de antivírus descobre rede de ciberespionagem

Foto: Kommersant

Foto: Kommersant

Rede, que voltava ataques a missões diplomáticas, organizações governamentais e estabelecimentos de investigação científica, tem o codinome Outubro Vermelho e pode ter sido construída com a participação de programadores russos.

A fabricante de antivírus Kaspersky descobriu uma rede de ciberespionagem direcionada a missões diplomáticas, organizações governamentais e estabelecimentos de investigação científica. O anúncio foi feito pela própria empresa. A rede tem o codinome Outubro Vermelho e pode ter sido construída com a participação de programadores russos.

Infográfica:

 

O objetivo era roubar dados e informações confidenciais para obter acesso a sistemas de computadores, dispositivos móveis pessoais e redes corporativas e coletar informações de natureza geopolítica. O maior número de infecções foi detectado na Rússia, algumas ex-repúblicas soviéticas, países da Europa Oriental e da Ásia Central.

Os especialistas da Kaspersky Lab descobriram a rede em outubro passado, após a investigação de uma série de ataques às redes de computadores de missões diplomáticas internacionais. Segundo especialistas da Kaspersky Lab, a operação Outubro Vermelho começou em 2007 e continua até hoje.

"Abrimos a investigação depois de recebermos arquivos de um de nossos parceiros, que preferiu ficar em anonimato. Em pouco tempo, chegamos à conclusão que enfrentávamos uma das maiores redes de ciberespionagem que havíamos conhecido", disse à CNews um dos maiores especialistas da Kasperski Lab, Vitali Kamliuk.

"A quantidade e a diversidade de códigos maliciosos usados na operação é incrível: mais de 1.000 arquivos originais e 34 tipos diferentes de módulos. Na nossa opinião, descobrimos apenas uma parte da rede."

Em cinco anos, foram infectados cerca de 300 computadores e dispositivos móveis e roubadas centenas de terabytes de dados com o uso de mais de 60 nomes de domínio, afirmam analistas da Kaspersky Lab.

Para eles, os domínios da operação foram, em sua maioria, registrados em servidores intermediários com endereços de IP russos e alemães. Como os  códigos possuem gírias e palavras utilizadas pelos programadores russos, os especialistas da Kaspersky Lab não descartam a pista russa na operação, embora ainda não tenham conseguido descobrir os verdadeiros objetivos nem a nacionalidade dos hackers.

Infecções foram detectadas também em estabelecimentos científicos, comerciais e militares, assim como em empresas dos setores de energia nuclear, gás e petróleo e aeroespacial.

Foram atacados arquivos de formatos diferentes, inclusive aqueles com extensão acid, pertencentes ao Acid Cryptofiler, software utilizado por algumas organizações da União Europeia e da Otan (Organização do Tratado do Atlântico Norte). A Kaspersky Lab não quis revelar quais organizações foram atacadas até terminar a investigação.

A maioria das infecções ocorreu através de contas de e-mail. O detalhe é que cada vítima recebia uma carta sobre um assunto que lhe interessava, como, por exemplo, anúncios da venda de um carro diplomático, disse Vitali Kamliuk, em entrevista ao jornal “Vedomosti”.  A carta enviada à vitima continha códigos maliciosos.

Códigos

Criados por outros hackers, esses códigos haviam sido usados ​​em ataques cibernéticos contra os ativistas tibetanos e os setores militares e de energia de alguns países asiáticos. Dentre as características mais notáveis do software usado na operação, os especialistas da Kaspersky Lab destacam a possibilidade de readquirir acesso à máquina infectada.

O software possui um módulo especial que se integra como um plug-in do Adobe Reader e do Microsoft Office e torna a máquina infectada novamente acessível à invasão caso o malware principal tenha sido detectado e removido ou o sistema operacional tenha sido atualizado. Também permite roubar dados de dispositivos móveis.

A Kaspersky Lab investiga o caso em cooperação com organismos internacionais, autoridades policiais e equipes nacionais de reação a emergências informáticas (Computer Emergency Response Teams).

Evolução

Nos últimos cinco anos, a espionagem cibernética evoluiu dos ataques isolados concebidos para explorar uma vulnerabilidade específica de sistemas operacionais para invasões a nível industrial, disse o diretor-executivo da Peak Sistemas, Maksim Emm, em entrevista ao jornal “Vedomosti”.

Para obter informações, ataques direcionados não são mais necessários: computadores-alvo (em estabelecimentos de administração pública, por exemplo) são infectados com antecedência e entregues a proprietários de botnets (redes de computadores infectados), explicou o especialista.

Para defender as redes corporativas contra tais ataques, é preciso instalar um antivírus, não abrir links nem anexos contidos em e-mails vindos de endereços desconhecidos e não usar um mesmo disco externo para armazenamento de dados em redes internas e externas, diz Kamliuk.

Quanto mais níveis de segurança cibernética uma organização tiver, menor será a probabilidade de seus computadores serem invadidos. Para tanto, as organizações interessadas devem atualizar oportunamente seus programas antivírus, não instalar softwares de origem não confirmada e manter os  computadores com informações sigilosas separados das máquinas conectadas à internet, acrescenta Emm.

 

Reportagem combinada com materiais dos veículos RBC, Vedomosti, CNews

Todos os direitos reservados por Rossiyskaya Gazeta.