Operação outubro vermelho: descoberta rede de espionagem cibernética em larga escala

Operação outubro vermelho: descoberta rede de espionagem cibernética em larga escalaEspecialistas em segurança da Kaspersky Lab aparentemente descobriram um caso massivo de espionagem cibernética. Uma análise publicada nesta segunda-feira, afirma que redes de computadores em missões diplomáticas, governos e organizações do comércio, companhias de energia, instituições de pesquisa, aeroespacial e militares foram infiltradas por um tempo estimado de 5 anos.

Aparentemente uma infraestrutura bastante sofisticada habilitou crackers desconhecidos à acessar vários terabytes de informação geopolítica altamente confidencial (além de outras informações sigilosas) dos computadores de suas vítimas.

A Kaspersky também relatou que seus primeiros achados indicavam a existência de uma estrutura de espionagem, designada \”Red October\” (como o título do Filme: Outubro Vermelho), ou \”Rocra\”, em outubro passado. A investigação que se seguiu descobriu centenas de infecções em grandes instituições mundo afora. As organizações afetadas estão primariamente localizadas na Europa Oriental, Ásia Central e na antiga União Soviética, sendo os países mais afetados pela infecção sendo Rússia, seguida do Cazaquistão e Azerbaijão. O número de infecções encontrado na Europa Ocidental e América do Norte foi considerado baixo.

Ainda de acordo com a Kaspersky, a estrutura geral do Red October possui uma complexidade comparável ao do flame. Os crackers controlam suas redes de computadores infectados a partir de mais de 60 domínios diferentes e numerosos servidores localizados em vários países, mas principalmente da Alemanha e Rússia. Os servidores são, de acordo com a Kaspersky, organizados em uma cadeia com proxies conectados a servidores do tipo C&C (Command-and-Control) na intenção de impedir a descoberta da localização dos pontos centrais de controle. Os dados de registro para os domínios C&C e demais informações indicam que os ataques tem acontecido desde maio do ano de 2007. O sistema aparentemente continua ativo e os dados continuam a ser enviados para os servidores C&C.

O malware

O malware descoberto no sistema é similarmente complexo. Os especialistas identificaram mais de 1000 arquivos, que somam por volta de 30 categorias de módulos pertencentes ao mesmo malware. Sua estrutura lógica-funcional permite aos crackers terem total vantagem das infecções. Assim como o ataque às estações de trabalho, os módulos do malware são capazes de roubar dados de dispositivos móveis e bisbilhotar componentes de rede e servidores FTP locais. Isso permite que os e-mails das vítimas possam ser acessados tanto de forma local, quanto via servidores POP ou IMAP. O malware também é capaz de roubar arquivos, incluindo aqueles que já haviam sido apagados do sistema, como também de drives USB. Aparentemente o Red October utiliza seu próprio protocolo proprietário para recuperar esses arquivos em disco.

A técnica

Aparentemente os crackers tem utilizado em primeira instância técnicas de phishing para iniciar as infecções. São enviados e-mails para as vítimas selecionadas, sempre contendo anexos infectados, sendo estes anexos projetados para serem de máximo interesse das vítimas. Após ter sucesso com a infecção do sistema através do componente principal do malware, outros módulos com propósitos específicos (como infectar os smartphones das vítimas) são silenciosamente baixados dos servidores do tipo C&C. Em segunda instância, os criminosos também buscam explorar vulnerabilidades de segurança no Microsoft Word, Microsoft Excel e Adobe Reader para infectar os computadores das vítimas. A análise da Kaspersky também afirma que muitas das informações obtidas das redes infiltradas são sistematicamente recolhidas e utilizadas nos ataques subsequentes. Os espiões digitais parecem ter interesse particular nos arquivos com extensão .acid, criados pelo programa Acid Cryptofiler. De acordo com a Kaspersky, essa é uma aplicação de criptografia utilizada por diversas organizações importantes, incluindo a União Europeia e OTAN (Organização do Tratado do Atlântico Norte).

Os envolvidos

A identidade dos envolvidos nessa mega-operação de espionagem ainda não foi descoberta. A equipe da Kaspersky estima a possibilidade dessa operação estar sendo financiada por apenas um único estado soberano. De acordo com análises linguísticas do código, aparentemente os módulos desse malware foram desenvolvidos por crackers russos. Ainda de acordo com essas análises, o sistema parece ter sido desenvolvido do zero e não está sendo utilizado em nenhum outro caso de espionagem cibernética.

Fonte: Heise Online (em Inglês)