Empresa descobre vírus que roubava documentos secretos desde 2007
Investigadores russos descobriram uma rede de hackers que poderia estar roubando desde 2007 documentos confidenciais de instituições governamentais de dezenas de países do mundo, incluindo o Brasil.
A empresa de segurança online Kaspersky Labs afirmou à BBC que o programa malicioso distribuído pela rede foi desenvolvido para roubar arquivos codificados de instituições como embaixadas, centros de pesquisa nuclear e institutos ligados aos setores de petróleo e gás.
O programa malicioso (ou malware, na linguagem técnica) foi batizado de Red October, em referência ao submarino russo do livro A Caçada ao Outubro Vermelho, de Tom Clancy.
Segundo a Kaspersky, os principais alvos eram países do Leste Europeu, ex-repúblicas soviéticas e países da Ásia Central, mas ataques também foram verificados ao redor do mundo, incluindo Estados Unidos e países da Europa Ocidental.
Um especialista descreveu a descoberta do ataque como “muito significativa”.
“Esse programa parece estar tentando coletar todas as coisas usuais – documentos de Word, PDFs, todas as coisas que você poderia esperar. Mas algumas das extensões de arquivo que ele alveja são arquivos encriptados muito específicos”, diz o especialista Alan Woodwards, da Universidade de Surrey.
Segundo a Kaspersky, “o principal objetivo dos hackers era juntar documentos sensíveis das organizações atingidas, que incluíam inteligência geopolítica, credenciais para o acesso a sistemas de computadores protegidos e dados pessoais de dispositivos móveis e de equipamento de rede”.
‘Vítimas selecionadas’
Em entrevista à BBC, o chefe de pesquisas da Kaspersky para malware, Vitaly Kamluk, disse que as vítimas foram cuidadosamente selecionadas.
“(O ataque) foi descoberto em outubro. Começamos nossas checagens e rapidamente compreendemos que essa é uma enorme campanha de ataque cibernético”, comenta Kamluk.
“Há um conjunto bem limitado de alvos afetados – cuidadosamente selecionados. Eles parecem estar relacionados a algumas organizações de alto perfil”, diz.
Segundo ele, o Red October tem muitas semelhanças com o Flame, outro grande ataque cibernético descoberto no ano passado.
Assim como o Flame, o Red October é composto de vários módulos distintos, cada um deles com um objetivo ou uma função.
“Há um módulo especial para a recuperação de arquivos apagados de cartões de memória”, diz Kamluk.
“Ele monitora quando um cartão de memória é plugado e tenta então recuperar arquivos apagados. Nunca havíamos visto isso antes em um malware”, observa.
Escondido
Outra característica única do Red October é sua habilidade de se esconder em uma máquina como se houvesse sido apagado, segundo Woodward.
“Se ele é descoberto, ele se esconde. Quando todos pensam que a costa está limpa, você manda um e-mail e ‘pá’, ele volta a ficar ativo”, afirma.
Outros módulos foram desenvolvidos para buscar arquivos codificados com um sistema conhecido como Cryptofiler – um método que era disseminado em agências de inteligência, mas que agora é menos comum.
Woodward explicou que apesar de o Cryptofiler não ser mais usado para documentos extremamente sensíveis, ele ainda é usado por organizações como a Otan para proteção da privacidade e de outras informações que podem interessar a hackers.
O ataque do Red October a arquivos do Cryptofiler podem sugerir que os métodos de codificação haviam sido “quebrados”.
Segundo Kamluk, a origem do malware ainda está sendo investigada, mas o código do programa incluiria termos errados em inglês supostamente influenciados pelo russo.
Um desses indícios seria o uso da palavra ‘proga’, gíria comum entre os russos para programa ou aplicativo e que não é usada em nenhuma outra língua.
Woodward, porém, adverte que “no velho mundo sorrateiro da espionagem, poderia ser um exercício falso de sinalização”. “Não dá para tomar essas coisas pelo valor de face”, afirma.
Segundo a Kaspersky, um relatório de cem páginas sobre o malware deve ser publicado até o fim da semana.