Pesquisadores especialistas em segurança recentemente anunciaram a descoberta de uma plataforma de malware que tem operado sem ser detectada por pelo menos cinco anos. Chamado de “ProjectSauron” (ou “Remsec”) ele é tão avançado e bem concebido que é bem provável que tenha sido desenvolvido por um grupo de hackers patrocinados por uma organização de inteligência do governo de algum país, de acordo com os especialistas.
O malware está ativo desde pelo menos 2011, objetivando redes de alto nível na Rússia, China, Suécia e outros países. A descoberta foi feita em um esforço conjunto entre as empresas de segurança Symantec e Kaspersky Lab e até o momento foram identificados mais de 30 sites infectados – incluindo o de uma companhia aérea da China, de uma embaixada na Bélgica e uma organização não-identificada na Suécia.
Ao contrário dos malwares a que estamos habituados, que afetam o computador convencional, o ProjectSauron tem um foco mais específico e não pode ser executado em plataformas comuns do Microsoft Windows. É projetado para se infiltrar em redes de computadores geridos por organizações governamentais, como instalações militares, centros de pesquisas científicas e sistemas corporativos.
De acordo com a Symantec, ele teria sido criado por um grupo de hackers até então desconhecido, chamado Strider. Uma das razões para demora de sua detecção é que o programa é projetado para ser praticamente invisível, pois usa um código único para cada alvo atacado. Isso significa que ele é capaz de não levantar suspeitas com o que os cientistas da computação geralmente encontram em códigos maliciosos.
“Os atacantes compreendem claramente que nós, como pesquisadores, estamos sempre à procura de padrões”, explicaram os funcionários da Kaspersky Lab. “Remova esses padrões e a operação será mais difícil de ser descoberta”. Em atividade por pelo menos cinco anos, a empresa só descobriu o trabalho dos hackers no ano passado, quando um de seus clientes pediu que analisasse um tráfego de rede anômalo.
A Symantec descreveu o malware como tendo uma série de “características stealth” (furtivas), incluindo o armazenamento de seus componentes em objetos executáveis, o que o torna ainda mais difícil de ser detectado corretamente por um antivírus tradicional. Ele é capaz de infectar computadores fisicamente isolados (air-gapped) dentro de uma rede e que não estiverem conectados à internet, através do uso de chaves USB.
De acordo com a Kaspersky Lab, boa parte da atividade do ProjectSauron, em termos de sites infectados, parece ter cessado este ano, mas não há garantias de que isso fique assim. Como as equipes acreditam que a plataforma sofisticada fora apoiada por algum governo, pode haver muito planejamento e investimento financeiro por trás dos ataques – que provavelmente ainda não acabaram.
“Nós acreditamos que uma operação de tal complexidade, que visa roubar informação confidencial e secreta, só pode ser executada com o apoio de um Estado […] É provável que tenham sido necessárias várias equipes de especialistas e um orçamento de provavelmente milhões de dólares […] Estamos conscientes de mais de 30 organizações atacadas, mas temos a certeza de que esta é apenas a ponta pequena do iceberg”, explicou a Kaspersky Lab.
Fonte
Nenhum comentário:
Postar um comentário