Mercado fechado

Especialistas revelam campanha de espionagem contra diplomatas e militares

Felipe Demartini

A história é parecida com a de um filme de espionagem, mas não tem nada de ficção. Especialistas da ESET revelaram nesta semana os detalhes de um esquema de espionagem em andamento desde setembro de 2019, focado em missões diplomáticas e organizações militares da Europa, com o objetivo de roubar dados e informações confidenciais destes alvos. A operação utiliza um malware altamente complexo, com quase uma centena de funcionalidades diferentes.

Um grupo chamado InvisiMole foi citado como o responsável pela campanha, estando em atividade, pelo menos, desde 2013. Entretanto, os detalhes de sua operação foram revelados apenas agora em uma parceria da empresa de segurança digital com alguns de seus clientes infectados pela praga utilizada pelos hackers. O trabalho revelou as minúcias da operação e do software utilizado para sua realização, assim como a cooperação entre os criminosos e um segundo bando, também com atuação ligada a fins políticos.

A sequência de ataques começa com a atuação do Gamaredon, um grupo hacker que teria ligações com o governo russo e já teria executado ações com alvos políticos, sendo responsável por campanhas de phishing ligadas à pandemia do novo coronavírus e ataques contra a infraestrutura da Ucrânia. São eles os responsáveis pela infecção inicial, que utiliza e-mails de phishing e documentos do pacote Office contendo macros que permitem o download de malwares; uma rede de máquinas contaminadas é criada e permanece dormente, aguardando a continuidade da operação.

Os hackers, então, avaliam as máquinas mais valiosas entre as contaminadas e realizam o “upgrade” da infecção, dando início à segunda etapa da infecção pelo InvisiMole. “Os malwares são entregues em cadeias e de forma customizada, feitos especificamente para as máquinas e organizações comprometidas”, explicou Zuzana Hromcová, pesquisadora da ESET responsável pelo trabalho que revelou a operação. “A cooperação permite a atuação sofisticada dos hackers, que agem de forma criativa e minimizam o risco de detecção.”

Operação complexa envolvia infecção inicial por engenharia social; depois, malware com quase uma centena de explorações em celulares e computadores era acionado em vítimas selecionadas (Imagem: Divulgação/ESET)

Entre os recursos do malware utilizado estão a capacidade de ligar microfones e câmeras sem a anuência do usuário, roubar documentos confidenciais, tirar screenshots da tela ou capturar tudo o que é digitado. Em smartphones, as possibilidades também envolvem o monitoramento por meio de GPS e o roubo de fotos e vídeos da galeria, além de e-mails e contatos disponíveis em mensageiros instantâneos. “O malware também é capaz de se atualizar e mudar de forma, para evitar detecção, ou se propagar pela rede, levando a mais infecções, completa a especialista.

Ela cita o trabalho ao lado de uma das organizações atingidas como essencial para a revelação dos detalhes sobre o InvisiMole. De acordo com Hromcová, a vítima tinha dezenas de computadores infectados em sua rede interna e mais de oito mil documentos sendo preparados para envio a servidores controlados pelos hackers, todos com informações confidenciais de sua operação ou dados sensíveis de funcionários que poderiam ser utilizados em novos ataques. A disseminação acontecia das duas maneiras, tanto por meio de brechas conhecidas nos dispositivos quanto por engenharia social, a partir do que era obtido.

A divulgação feita pela ESET não fala em números de infecção por razões de segurança, mas toca em um fator comum a todas as organizações atingidas: elas foram comprometidas devido a brechas em sua segurança interna, principalmente do lado do usuário. Conforme aponta a pesquisadora, os cibercriminosos estão se tornando cada vez mais refinados em seus ataques, usando diferentes métodos para ocultar sua presença e, principalmente, analisando bem seus alvos antes de atacar.

“Na medida em que os atacantes se tornam melhores, os protocolos de segurança também precisam ser”, completa Hromcová, dando algumas dicas para administradores de segurança corporativa. A ideia é que essa abordagem seja aplicada a todos os dispositivos e à rede, de forma que não existam soluções defasadas em alguns computadores ou dispositivos desprotegidos acessando o ambiente. A coordenação entre diferentes setores da mesma companhia também é essencial, bem como um monitoramento constante do que está sendo trafegado pelos sistemas e quem, exatamente, tem acesso a ele.

Fonte: Canaltech