O vírus Outubro Vermelho: "Nunca tínhamos visto antes um ataque feito com tal precisão cirúrgica". - (Foto: Kaspersky Lab - clique na imagem para ampliá-la).
Por cinco anos até agora, o vírus Outubro Vermelho entrou em uma nova classe de espionagem, roubando de diplomatas ao redor do mundo, sem ser detetado, emails e outros documentos confidenciais criptografados. Embora possa estar agora em hibernação, ele é projetado para atacar novamente a qualquer momento.
Os caçadores de vírus têm seu quartel-general em um edifício de escritórios comum no nordeste de Moscou. Vitaly Kamlyuk, um bielorrusso de 28 anos, senta-se frente a um gigantesco monitor na parede que mosta o mapa do mundo e conversa com duas pessoas, uma delas uma cientista da área de computação. Os três caçadores de vírus, parte de uma unidade especial da Kaspersky, uma empresa de computação russa, estão à caça do "Outubro Vermelho", apelido que deram a um programa de espionagem recentemente descoberto -- se inspiraram no submarino praticamente sem ruídos do romance de mesmo nome de Tom Clancy.
Esse vírus já infestou pelo menos 350 ministérios de governos, embaixadas e instalações de pesquisas ao redor do mundo, principalmente nas antigas repúblicas soviéticas. Os hackers aparentemente tinham "um particular interesse em informações geopoliticamente relevantes", diz o analista de vírus Kamlyuk. A embaixada russa nos EUA estava aparentemente entre os alvos. Dezenas de milhares de documentos, provavelmente incluindo relatórios confidenciais diridos ao Ministério do Exterior em Moscou, teriam caído nas mãos dos espiões cibernéticos. É possível que vários terabites de dados foram roubados, cujos conteúdos poderiam ser tão explosivos quanto os dos documentos vazados pelo WikiLeaks.
O submarino digital operou oculto por cinco anos, pescando informações confidenciais, e é provável que os dados roubados não tenham sido ainda detetados pelas vítimas. "Nunca tínhamos visto antes um ataque feito com tal precisão cirúrgica", diz Kamlyuk, que agora está pressionando seus colegas para acelerarem seus esforços. Desde que a Kaspersky veio a público com a descoberta da rede espiã, os servidores de controle dos hackers têm sido gradualmente retirados de operação. "O inimigo está destruindo as evidências", diz Kamlyuk.
Aprofundando a trama
O Outubro Vermelho faz parte de uma nova geração de programas de espionagem que são caros e complexos, e ainda assim dificilmente garantem ou prometem qualquer ganho financeiro. São arquitetados para roubar informação política e não dados bancários. Acredita-se que agências de inteligência governamentais estejam por trás desses programas. O cofundador da Kaspersky, Eugene Kaspersky, um graduado da universidade interna da KGB, está se especializando cada vez mais nessa nova geração de cavalos de Troia governamentais. Sua empresa analisou em 2010 o Stuxnet, um vírus que provocou um estrago no programa nuclear iraniano. No ano passado, os russos da Kaspersky decifraram o "Flame" e o "Gauss", dois vírus destrutivos que atuavam principalmente no Oriente Médio. Especula-se que, assim como com o Stuxnet, os EUA e Israel estão por trás desses programas.
O Outubro Vermelho, entretanto, tem uma "caligrafia" diferente. Gíria russa continua aparecendo em seu código, incluindo palavras como "zakladka" (bug) e "proga" (programa). Sergei Niktin, da empresa de segurança Group-IB sediada em Moscou, acredita que muitos autores trabalharam nesse programa e que eles não tiveram contato entre si. O estilo de programação dos módulos individuais é inconsistente, variando do sofisticado ao "rústico". Ele acredita que o programa foi comissionado por "um serviço de inteligência que contratou os programadores através doas fóruns subterrâneos da comunidade de hackers russa".
Há muitos guerreiros cibernéticos querendo vender seus serviços, principalmente na Rússia. Embora o país permita muitas oportunidades de bom treinamento técnico, o pagamento oferecido é frequentemente miserável nos institutos de pesquisa governamentais, levando alguns especialistas a buscar outras fontes de renda. O Ministério do Interior da Rússia estima que o país seja responsável por cerca de 30% dos envolvidos no cibercrime global. Por outro lado, os desenvolvedores e operadores do Outubro Vermelho podem estar em qualquer outro país. As suspeitas recaíram primeiro sobre a China, porque não foram encontradas vítimas lá. Além disso, hackers chineses haviam utilizado anteriormente algumas rotinas de invasão do programa para espionar os ativistas tibetanos. Mas, isso pode ser uma pista falsa, exposta deliberadamente.
Arrastão direcionado
Está claro, entretanto, que o Outubro Vermelho foi inserido de modo direcionado nos computadores de uns poucos destinatários selecionados, de modo a atrair pouca atenção, usando um método denominado "spear phishing" [alusão a "spear fishing", pesca com hastes ponteagudas atiradas ou mantidas na mão - em computação, um ataque para captura de informações altamente focado]. A mensagem na qual o programa se escondia era feita sob medida para os destinatários. Em um caso, por exemplo, um destinatário recebeu um email falso tendo como assunto as palavras "carro diplomático à venda".
O programa não gasta muito esforço tentando inflitrar-se nos computadores desejados -- sua engenhosidade reside na chamada "exfiltration" [do verbo "exfiltrate" -- o oposto de "infiltrate" --, que significa escapar furtivamente ou retirar furtivamente pessoal militar de uma área sob controle inimigo], ou seja a remoção discreta das "pilhagens" feitas. "O Outubro Vermelho é fantástico", vibra Costin Raiu, mal disfarçando sua admiração. "Os hackers escreveram cerca de 1.000 módulos para roubar dados". Raiu, nos meados dos seus 30 anos, chefia, a partir de seu escritório em Bucareste (Romênia) a equipe de pesquisas da Kaspersky, com 34 empregados espalhados pelo mundo.
Um informante passou-lhe um vírus em outubro de 2012. O arquivo parecia trivial. Raiu decidiu examinar o invasor. Quando ele intencionalmente invadiu computadores especiais do laboratório, o vírus começou a agir. O software ativou-se sozinho, mapeou toda a rede a partir de seu interior, estabeleceu um diretório de todos os dispositivos conectados e então armazenou e criptografou a informação. O organizado invasor atribuiu também um número a cada computador vitimado.
Depois que sua investigação está concluída, o programa faz contato com um conjunto de computadores de controle na Internet. Dependendo do hardware descoberto pelo vírus, este baixa as ferramentas de invasão aplicáveis: "pescar" senhas, endereços, calendários, textos, tabelas e listas de ligações telefônicas. Um módulo é usado para ler informações armazenadas em iPhones, enquanto outro copia o conteúdo de pen drives, mesmo quando os usuários acreditam ter deletado esses conteúdos.
Separando as camadas
O vírus busca também especificamente por documentos confidenciais que tenham sido criptografados por um software chamado "Acid Criptofiler", que é utilizado pela União Europeia e pela OTAN. Para decodificar esses arquivos, ele grava as entradas feitas via teclado com o emprego de um denominado "keylogger" (registrador de teclado, em tradução livre). Ele então comprime os dados e os transmite em pequenos pacotes organizados para uma seleção de cerca de 60 servidores de comando, alguns deles localizados na Alemanha. Esses servidores, por sua vez, se comunicam com "naves-mães", um sistema de computadores de repasse (proxies) que repassam os dados para os "criminosos" escondidos. "A coisa toda é estruturada como as camadas de uma cebola", diz Raiu.
Raiu montou uma armadilha para determinar quem era o alvo do ataque. Alguns dos endereços contatados pelo vírus não responderam. Raiu simplesmente registrou esses endereços desatualizados em seu nome e desviou o trânsito de dados para seu laboratório. Esse método é denominado "sinkhole" (ralo, buraco de escoamento), porque permite ao usuário examinar em profundidade um sistema de túneis escondido. Em poucas semanas, ele havia coletado 55.000 pedidos de informações de computadores contaminados pelo vírus. "Conseguimos acessar apenas 6 dos 60 servidores de comando", diz Raiu. "Em outras palavras, pudemos ver apenas 10% da rede". É possível que o número de computadores contaminados seja muito maior.
Raiu tem observado agora que os servidores de comando vêm sendo gradativamente desligados. Mas, isso significa apenas que o Outubro Vermelho está hibernando. "Tomadas" secretas, deixadas na retaguarda, podem ser ativadas a qualquer momento apesar do vírus ter sido supostamente deletado, alerta Igor Kotenko, um professor de Tecnologia da Informação na Universidade de São Petersburgo.
Proteção contra vírus
A indústria de proteção contra vírus ficou agora com cara de trouxa. Como pode um vírus ter ficado cinco anos sem ser detetado? Andreas Marx, diretor-gerente da AV-Test na cidade de Magdeburg, no leste da Alemanha, explica o problema: "O Outubro Vermelho invadiu apenas computadores individuais, de uma maneira muito direcionada, ao passo que os softwares antivírus geralmente são focados contra vírus largamente disseminados". Segundo ele, a quantidade de "malware" está crescendo enormemente -- "somente neste ano estima-se que estão sendo acrescentados 50 milhões de variantes". Isso significa duas por segundo. Marx aconselha os usuários a também usarem um sistema de proteção do tipo cebola, consistindo de atualizações automáticas de todos os programas, das proteções contra vírus, de firewalls e de uma "lista branca" de computadores confiáveis.
"Programas antivírus podem levar as pessoas a acreditar que estão seguras, quando na realidade não estão", diz Fred Cohen, um consultor de segurança da área de editorial do Journal in Computer Virology. "Muitos usuários baixam todos os tipos de coisas, porque pensam que estão protegidos". Cohen é um dos pioneiros na comunidade de computação. Foi ele que cunhou o termo "computer virus", depois de ter liberado "germes" computacionais numa experiência de teste na Universidade do Sul da Califórnia -- isso foi em 1983. Trinta anos de experiência ensinaram a Cohen que, para cada escudo de proteção digital, há um vírus que pode contorná-lo e evitá-lo. Essa é a razão, diz ele, pela qual ele coloca entre suas orelhas a maior parte de sua confiança nos programas de proteção contra vírus, que se resume a: ceticismo e cautela.
Esse vírus já infestou pelo menos 350 ministérios de governos, embaixadas e instalações de pesquisas ao redor do mundo, principalmente nas antigas repúblicas soviéticas. Os hackers aparentemente tinham "um particular interesse em informações geopoliticamente relevantes", diz o analista de vírus Kamlyuk. A embaixada russa nos EUA estava aparentemente entre os alvos. Dezenas de milhares de documentos, provavelmente incluindo relatórios confidenciais diridos ao Ministério do Exterior em Moscou, teriam caído nas mãos dos espiões cibernéticos. É possível que vários terabites de dados foram roubados, cujos conteúdos poderiam ser tão explosivos quanto os dos documentos vazados pelo WikiLeaks.
O submarino digital operou oculto por cinco anos, pescando informações confidenciais, e é provável que os dados roubados não tenham sido ainda detetados pelas vítimas. "Nunca tínhamos visto antes um ataque feito com tal precisão cirúrgica", diz Kamlyuk, que agora está pressionando seus colegas para acelerarem seus esforços. Desde que a Kaspersky veio a público com a descoberta da rede espiã, os servidores de controle dos hackers têm sido gradualmente retirados de operação. "O inimigo está destruindo as evidências", diz Kamlyuk.
Aprofundando a trama
O Outubro Vermelho faz parte de uma nova geração de programas de espionagem que são caros e complexos, e ainda assim dificilmente garantem ou prometem qualquer ganho financeiro. São arquitetados para roubar informação política e não dados bancários. Acredita-se que agências de inteligência governamentais estejam por trás desses programas. O cofundador da Kaspersky, Eugene Kaspersky, um graduado da universidade interna da KGB, está se especializando cada vez mais nessa nova geração de cavalos de Troia governamentais. Sua empresa analisou em 2010 o Stuxnet, um vírus que provocou um estrago no programa nuclear iraniano. No ano passado, os russos da Kaspersky decifraram o "Flame" e o "Gauss", dois vírus destrutivos que atuavam principalmente no Oriente Médio. Especula-se que, assim como com o Stuxnet, os EUA e Israel estão por trás desses programas.
O Outubro Vermelho, entretanto, tem uma "caligrafia" diferente. Gíria russa continua aparecendo em seu código, incluindo palavras como "zakladka" (bug) e "proga" (programa). Sergei Niktin, da empresa de segurança Group-IB sediada em Moscou, acredita que muitos autores trabalharam nesse programa e que eles não tiveram contato entre si. O estilo de programação dos módulos individuais é inconsistente, variando do sofisticado ao "rústico". Ele acredita que o programa foi comissionado por "um serviço de inteligência que contratou os programadores através doas fóruns subterrâneos da comunidade de hackers russa".
Há muitos guerreiros cibernéticos querendo vender seus serviços, principalmente na Rússia. Embora o país permita muitas oportunidades de bom treinamento técnico, o pagamento oferecido é frequentemente miserável nos institutos de pesquisa governamentais, levando alguns especialistas a buscar outras fontes de renda. O Ministério do Interior da Rússia estima que o país seja responsável por cerca de 30% dos envolvidos no cibercrime global. Por outro lado, os desenvolvedores e operadores do Outubro Vermelho podem estar em qualquer outro país. As suspeitas recaíram primeiro sobre a China, porque não foram encontradas vítimas lá. Além disso, hackers chineses haviam utilizado anteriormente algumas rotinas de invasão do programa para espionar os ativistas tibetanos. Mas, isso pode ser uma pista falsa, exposta deliberadamente.
Arrastão direcionado
Está claro, entretanto, que o Outubro Vermelho foi inserido de modo direcionado nos computadores de uns poucos destinatários selecionados, de modo a atrair pouca atenção, usando um método denominado "spear phishing" [alusão a "spear fishing", pesca com hastes ponteagudas atiradas ou mantidas na mão - em computação, um ataque para captura de informações altamente focado]. A mensagem na qual o programa se escondia era feita sob medida para os destinatários. Em um caso, por exemplo, um destinatário recebeu um email falso tendo como assunto as palavras "carro diplomático à venda".
O programa não gasta muito esforço tentando inflitrar-se nos computadores desejados -- sua engenhosidade reside na chamada "exfiltration" [do verbo "exfiltrate" -- o oposto de "infiltrate" --, que significa escapar furtivamente ou retirar furtivamente pessoal militar de uma área sob controle inimigo], ou seja a remoção discreta das "pilhagens" feitas. "O Outubro Vermelho é fantástico", vibra Costin Raiu, mal disfarçando sua admiração. "Os hackers escreveram cerca de 1.000 módulos para roubar dados". Raiu, nos meados dos seus 30 anos, chefia, a partir de seu escritório em Bucareste (Romênia) a equipe de pesquisas da Kaspersky, com 34 empregados espalhados pelo mundo.
Um informante passou-lhe um vírus em outubro de 2012. O arquivo parecia trivial. Raiu decidiu examinar o invasor. Quando ele intencionalmente invadiu computadores especiais do laboratório, o vírus começou a agir. O software ativou-se sozinho, mapeou toda a rede a partir de seu interior, estabeleceu um diretório de todos os dispositivos conectados e então armazenou e criptografou a informação. O organizado invasor atribuiu também um número a cada computador vitimado.
Depois que sua investigação está concluída, o programa faz contato com um conjunto de computadores de controle na Internet. Dependendo do hardware descoberto pelo vírus, este baixa as ferramentas de invasão aplicáveis: "pescar" senhas, endereços, calendários, textos, tabelas e listas de ligações telefônicas. Um módulo é usado para ler informações armazenadas em iPhones, enquanto outro copia o conteúdo de pen drives, mesmo quando os usuários acreditam ter deletado esses conteúdos.
Separando as camadas
O vírus busca também especificamente por documentos confidenciais que tenham sido criptografados por um software chamado "Acid Criptofiler", que é utilizado pela União Europeia e pela OTAN. Para decodificar esses arquivos, ele grava as entradas feitas via teclado com o emprego de um denominado "keylogger" (registrador de teclado, em tradução livre). Ele então comprime os dados e os transmite em pequenos pacotes organizados para uma seleção de cerca de 60 servidores de comando, alguns deles localizados na Alemanha. Esses servidores, por sua vez, se comunicam com "naves-mães", um sistema de computadores de repasse (proxies) que repassam os dados para os "criminosos" escondidos. "A coisa toda é estruturada como as camadas de uma cebola", diz Raiu.
Raiu montou uma armadilha para determinar quem era o alvo do ataque. Alguns dos endereços contatados pelo vírus não responderam. Raiu simplesmente registrou esses endereços desatualizados em seu nome e desviou o trânsito de dados para seu laboratório. Esse método é denominado "sinkhole" (ralo, buraco de escoamento), porque permite ao usuário examinar em profundidade um sistema de túneis escondido. Em poucas semanas, ele havia coletado 55.000 pedidos de informações de computadores contaminados pelo vírus. "Conseguimos acessar apenas 6 dos 60 servidores de comando", diz Raiu. "Em outras palavras, pudemos ver apenas 10% da rede". É possível que o número de computadores contaminados seja muito maior.
Raiu tem observado agora que os servidores de comando vêm sendo gradativamente desligados. Mas, isso significa apenas que o Outubro Vermelho está hibernando. "Tomadas" secretas, deixadas na retaguarda, podem ser ativadas a qualquer momento apesar do vírus ter sido supostamente deletado, alerta Igor Kotenko, um professor de Tecnologia da Informação na Universidade de São Petersburgo.
Proteção contra vírus
A indústria de proteção contra vírus ficou agora com cara de trouxa. Como pode um vírus ter ficado cinco anos sem ser detetado? Andreas Marx, diretor-gerente da AV-Test na cidade de Magdeburg, no leste da Alemanha, explica o problema: "O Outubro Vermelho invadiu apenas computadores individuais, de uma maneira muito direcionada, ao passo que os softwares antivírus geralmente são focados contra vírus largamente disseminados". Segundo ele, a quantidade de "malware" está crescendo enormemente -- "somente neste ano estima-se que estão sendo acrescentados 50 milhões de variantes". Isso significa duas por segundo. Marx aconselha os usuários a também usarem um sistema de proteção do tipo cebola, consistindo de atualizações automáticas de todos os programas, das proteções contra vírus, de firewalls e de uma "lista branca" de computadores confiáveis.
"Programas antivírus podem levar as pessoas a acreditar que estão seguras, quando na realidade não estão", diz Fred Cohen, um consultor de segurança da área de editorial do Journal in Computer Virology. "Muitos usuários baixam todos os tipos de coisas, porque pensam que estão protegidos". Cohen é um dos pioneiros na comunidade de computação. Foi ele que cunhou o termo "computer virus", depois de ter liberado "germes" computacionais numa experiência de teste na Universidade do Sul da Califórnia -- isso foi em 1983. Trinta anos de experiência ensinaram a Cohen que, para cada escudo de proteção digital, há um vírus que pode contorná-lo e evitá-lo. Essa é a razão, diz ele, pela qual ele coloca entre suas orelhas a maior parte de sua confiança nos programas de proteção contra vírus, que se resume a: ceticismo e cautela.
Nenhum comentário:
Postar um comentário