Empresa descobre vírus que roubava documentos secretos desde 2007

Por BBC Brasil | - Atualizada às

compartilhe

Tamanho do texto

'Red October' foi desenvolvido para roubar arquivos de instituições governamentais de vários países, principalmente do Leste Europeu e ex-repúblicas soviéticas, dizem analistas russos

BBC

BBC

Investigadores russos descobriram uma rede de hackers que poderia estar roubando desde 2007 documentos confidenciais de instituições governamentais de dezenas de países do mundo, incluindo o Brasil.

A empresa de segurança online Kaspersky Labs afirmou à BBC que o programa malicioso distribuído pela rede foi desenvolvido para roubar arquivos codificados de instituições como embaixadas, centros de pesquisa nuclear e institutos ligados aos setores de petróleo e gás.

Maio: Empresa diz ter detectado mega-ataque cibernético no Oriente Médio

NYT: Aumenta número de ataques cibernéticos contra infraestruturas dos EUA

O programa malicioso (ou malware, na linguagem técnica) foi batizado de Red October, em referência ao submarino russo do livro "A Caçada ao Outubro Vermelho", de Tom Clancy. Segundo a Kaspersky, os principais alvos eram países do Leste Europeu, ex-repúblicas soviéticas e países da Ásia Central, mas ataques também foram verificados ao redor do mundo, incluindo EUA e países da Europa Ocidental.

Um especialista descreveu a descoberta do ataque como "muito significativa". "Esse programa parece tentar coletar todas as coisas usuais - documentos de Word, PDFs - que você poderia esperar. Mas algumas das extensões de arquivo que ele alveja são documentos encriptados muito específicos", diz o especialista Alan Woodwards, da Universidade de Surrey.

Segundo a Kaspersky, "o principal objetivo dos hackers era juntar documentos sensíveis das organizações atingidas, que incluíam inteligência geopolítica, credenciais para o acesso a sistemas de computadores protegidos e dados pessoais de dispositivos móveis e de equipamento de rede".

'Vítimas selecionadas'

Em entrevista à BBC, o chefe de pesquisas da Kaspersky para malware, Vitaly Kamluk, disse que as vítimas foram cuidadosamente selecionadas. "(O ataque) foi descoberto em outubro. Começamos nossas checagens e rapidamente compreendemos que essa é uma enorme campanha de ataque cibernético", comenta Kamluk.

"Há um conjunto bem limitado de alvos afetados - cuidadosamente selecionados. Eles parecem estar relacionados a algumas organizações de alta projeção", diz.

Advertência: Especialista alerta para perigos de guerra cibernética

BBC
Imagem do software espião Flame, detectado por empresa com sede na Rússia (30/05/2012)

Especialista: Vírus Stuxnet, usado contra programa do Irã, tem trechos do Flame

Segundo ele, o Red October tem muitas semelhanças com o Flame, outro grande ataque cibernético descoberto no ano passado. Assim como o Flame, o Red October é composto de vários módulos distintos, cada um deles com um objetivo ou uma função.

"Há um módulo especial para a recuperação de arquivos apagados de cartões de memória", diz Kamluk. "Ele monitora quando um cartão de memória é plugado e tenta então recuperar arquivos apagados. Nunca havíamos visto isso antes em um malware", observa.

Escondido

Outra característica única do Red October é sua habilidade de se esconder em uma máquina como se houvesse sido apagado, segundo Woodward. "Se ele é descoberto, ele se esconde. Quando todos pensam que ele foi eliminado, você manda um e-mail e 'pá', ele volta a ficar ativo", afirma.

Outros módulos foram desenvolvidos para buscar arquivos codificados com um sistema conhecido como Cryptofiler - um método que era disseminado em agências de inteligência, mas que agora é menos comum.

Ciberataque: Testes de Israel com vírus atrapalham programa nuclear do Irã

Woodward explicou que, apesar de o Cryptofiler não ser mais usado para documentos extremamente sensíveis, ele ainda é utilizado por organizações como a Otan (Organização do Tratado do Atlântico Norte) para proteção da privacidade e de outras informações que podem interessar a hackers.

O ataque do Red October a arquivos do Cryptofiler podem sugerir que os métodos de codificação haviam sido "quebrados". Segundo Kamluk, a origem do malware ainda está sendo investigada, mas o código do programa incluiria termos errados em inglês supostamente influenciados pelo russo.

Simulação de ataque: Especialistas temem guerra cibernética no futuro

Um desses indícios seria o uso da palavra "proga", gíria comum entre os russos para programa ou aplicativo e que não é usada em nenhuma outra língua. Woodward, porém, adverte que "no velho mundo sorrateiro da espionagem, poderia ser um exercício falso de sinalização". "Não dá para tomar essas coisas pelo valor de face", afirma. Segundo a Kaspersky, um relatório de cem páginas sobre o malware deve ser publicado até o fim da semana.

compartilhe

Tamanho do texto

notícias relacionadas