De acordo com declarações de Snorre Fagerland, pesquisador da empresa de segurança Norman, com base na Noruega, "todos esses ataques são provavelmente, desempenhados pelo mesmo invasor, já que o malware em questão se comunica com as mesmas estruturas de comando e controle, e em muitos casos são inscritas utilizando o mesmo certificado digital". O pesquisador fez essas declarações através de um relatório, onde fez um detalhamento dos ataques.
Oriente Médio tem sido atingido por programas de espionagem cibernética. Israel e Palestina são os alvos da vez.
Ainda de acordo com Fagerland, "tais ataques tem acontecido há pelo menos um ano; ao que tudo indica, a prioridade dos atacantes são os palestinos e depois, os israelenses. Até o momento, o invasor é desconhecido, mas o propósito presumido é de espionagem e vigilância. Além disso, a Norman conectou a infraestrutura maliciosa a uma série de ataques lançados no mês de outubro, contra os computadores da força policial israelense, o que levou os oficiais a temporariamente derrubar os computadores e banir o uso de mídia removível.
Ainda no mês de outubro, a Trend Micro estudou amostras do malware e disse que pelo menos um ataque relacionado, aparentemente, teve como alvo a agência israelense: "o ataque começou com uma mensagem de spam que seria supostamente enviada pelo chefe das Forças de Defesa de Israel (Israel Defense Forces), Benny Gatz. Quem prestou essa informação foi Ivan Macalinta, em uma postagem publicada no blog da Trend Micro. O assunto do e-mail era: "IDF strikes militants in Gaza Strip following rocket barrage" (IDF ataca militantes na Faixa de Gaza após bombardeio), com a intenção de levar os alvos a abrirem o anexo, que continha uma versão disfarçada do trojan de acesso remoto "Xtreme".
Xtreme RAT e Roubo de Senhas
Lembrando que a última versão do Xtreme RAT é compatível com o recém-lançado Windows 8 e pode capturar áudio e roubar senhas dos navegadores Chrome, Firefox, Opera e Safari. "O XtremeRat é um trojan backdoor que está disponível comercialmente, e vem sendo usado em muitos ataques ao longo dos anos. Dessa forma, ele ganhou notoriedade em conexão com os ataques contra os ativistas sírios, juntamente com outros trojans disponíveis para fins comerciais, como o BlackShades e o DarkComet". Ele também vendo sendo utilizado em inúmeras operações envolvendo vigilância e explorações de acesso remoto.
De acordo com informaçãoes da empresa Norman, versões do ataque que foram recuperadas incluem um arquivo malicioso executável (disfarçado com a extensão de arquivo .SCR), e relacionado a várias notícias de grande destaque com referência à Israel, contendo arquivo de autoextração (em formato .SFX), que por sua vez contém diversos outros documentos. Esses arquivos incluem um inofensivo "barrage.doc", juntamente com um arquivo de nome "Word.exe", que é na realidade, o software backdoor XtremeRAT.
Malware, Botnets e Certificados Falsos
Todos os e-mails utilizados no ataque, foram assinados usando o mesmo certificado digital falso, que parece ser da Microsoft. De forma curiosa, a empresa Norman descobriu que há ataques usando o mesmo certificado falso desde maio de 2012 e que foram controlados por servidores Comando e Controle (C&C), localizados nos Estados Unidos. Através de uma investigação mais aprofundada, foi descoberto que desde outubro de 2011, outro malware estava se comunicando com a mesma infraestrutura C & C, bem como outros botnets, que, mais uma vez, têm sua base de serviço de hospedagem nos Estados Unidos. Segundo Fagerland, "é óbvio presumir que tudo isso faz parte de uma operação de vigilância de médio a grande porte".
Nesse contexto de ataques a países do Oriente Médio, muitas operações de espionagem por malware têm sido relacionadas ao Governo dos Estados Unidos, incluindo o Stuxnet, Flame e Duqu. No caso das investidas que partiram do Stuxnet, supostamente, haveria também a participação de Israel. Entretanto, nem todos os malwares com alvo na região foram lançados pelo país. Dessa forma, muitos especialistas em segurança acreditam que o malware Mahdi foi desenvolvido pelo Irã, com a intenção de espionar os próprios iranianos.
Inicialmente, tudo indicava que a campanha de ataque Xtreme RAT seria uma operação voltada à Israel. Mas a empresa descobriu ataques anteriores lançados, usando a mesma infraestrutura C&C, que tinha como alvo a região da Palestina. Os e-mails utilizados como isca no ataque eram escritos no idioma árabe e se referiam a problemas de grande interesse aos palestinos. Além disso, todos esses ataques anteriores, que ao que tudo indica começaram a ocorrer entre março e abril de 2012, apoiavam-se em endereços de IP de propriedade de uma provedora de serviços com sede em Ramallah, na Cisjordânia.
Saiba Mais:
[1] Norman Proactive IT Security http://www.norman.com/about_norman/p...an_one_year/en