• Hacktivistas, Cibercriminosos e Espiões Cibernéticos

    Sun Tzu, um estrategista militar renomado e autor de "The Art of War" era conhecido pelo ditado, "Conhece o teu inimigo e conheces a ti mesmo: se tiveres 100 combates a travar, 100 vezes sairás vitorioso." Nesse contexto, o profissional de segurança Corey Nachrelner, diretor de Estratégia de Segurança na WatchGuard, afirma que é gasto muito mais tempo analisando os aspectos técnicos e mecânicos do crime cibernético do que os aspectos sociais e psicológicos. Ele, assim como tantos outros profissionais da área, trabalha com análise e investigação de atividades de malware e exploração de ferramentas.

    Entretanto, nem sempre é feito um estudo sobre quem são realmente esses cibercriminosos, o que os levou a ingressar no submundo do cibercrime e por que eles fazem isso. Segundo o general Tzu, "esta é uma boa maneira de perder muitas batalhas."


    A Importância de Entender os Perfis dos Cibercriminosos

    A fim de compreender melhor a natureza das ameaças cibernéticas, os profissionais de segurança precisam agir mais como investigadores criminais, e considerar os meios, motivos e oportunidades para assim fazê-lo. A técnicas e ferramentas para realizar essa parte do trabalho está plenamente ao alcance dos profissionais, porém, é preciso focar mais nas razões pelas quais os elementos ingressam no cibercrime. Uma das melhores maneiras de fazer isso é entender os diferentes perfis desses "hackers".



    Nos últimos anos, os perfis de hackers em geral e suas motivações para desencadear ataques passaram por algumas modificações. Isso porque ninguém vive mais em um mundo de fama, buscando simplesmente hackers, script kiddies e cibercriminosos. Dessa forma, é importante entender essas alterações, uma vez que ditam o que os diferentes tipos de hackers são, e como eles tendem a alavancar os seus "negócios". Esses fatores podem ser a chave para ajudar no entendimento sobre quais dos seus recursos e ativos, precisam de mais proteção, e como você pode protegê-los.


    Motivações para o Hacktivismo

    De forma simplificada, é possível dizer que os hacktivistas são motivados politicamente para se transformarem em atacantes cibernéticos. Já existe toda uma familiarização com os ativistas tradicionais, incluindo aqueles mais extremistas. Nos últimos cinco anos, os ativistas já perceberam o poder da Internet, e começaram a usar ataques cibernéticos para espalhar suas mensagens, fazendo com que as pessoas entendam o que eles pretendem. Como exemplo de grupos desse tipo, está o famigerado Anonymous e o Exército Eletrônico da Síria.

    A maioria dos grupos hacktivistas tendem a ser descentralizados e muitas vezes, eles não são organizados como deveriam. Por exemplo, pode haver casos em que um elemento do Anonymous podem fazer algumas coisas e outro elemento que também pertença ao mesmo grupo, pode não concordar com ele.


    Cibercrime Gera Problemas para Empresas e Organizações Governamentais

    Por mais desorganizados e com tendências anarquistas que esses grupos possam ser e ter, eles podem causar problemas significativos para os governos e empresas. Isso porque a sua arma mais comum é a realização dos ataques DDoS, que ultimamente transtornaram o funcionamento de muitos sites, utilizando ferramentas como HOIC ou LOIC. Enquanto hacktivistas são, indiscutivelmente, os atacantes menos preocupantes da atualidade, eles ainda consegue causar estragos em muitas grandes empresas e governos. Nesse contexto, até mesmo as pequenas empresas podem tornar-se um alvo, dependendo dos negócios que elas oferecem e das parcerias firmadas.


    Perfil dos Cibercriminosos

    Grupos de criminosos cibernéticos podem variar desde alguns atores solitários que trabalham apenas para si mesmos, até mesmo chegar a grandes organizações criminosas cibernéticas, muitas vezes financiadas e dirigidas por organizações criminosas tradicionais. Eles são grupos de crackers, responsáveis ​​por roubar milhões de dólares de consumidores e empresas a cada ano.

    Estes cibercriminosos participam de uma economia subterrânea muito rica, onde é possível comprar, vender e trocar toolkits de ataque, códigos exploit 0-day, serviços botnet, e muito mais. Eles também compram e vendem informações privadas e de propriedade intelectual para roubar suas vítimas. Ultimamente, os cibercriminosos tem se concentrando em kits de exploração Web, como Blackhole, Phoenix, e até Nuclear Pack, que eles usam para automatizar e simplificar ataques drive-by downloads.

    Em um ataque recente direcionado ao setor bancário e usuários de cartão de crédito, um grupo muito organizado de criminosos foi capaz de roubar 45 milhões de dólares de caixas eletrônicos em todo o mundo, de forma altamente sincronizada. O ataque só foi possível, devido a uma violação da rede alvo contra alguns bancos e uma empresa processadora de pagamentos.


    Atacantes Patrocinados Pelo Estado

    Os mais novos e mais preocupantes atuantes no cenário das ameaças, são os atacantes cibernéticos patrocinados pelo Estado. Estes são os atacantes financiados pelo governo, dirigidos e ordenados para lançar operações de espionagem cibernética para roubo de propriedade intelectual. Estes atacantes comandam a maior banca, e, portanto, podem se dar ao luxo de contratar os melhores talentos, as mentes mais brilhantes para criar as ameaças mais avançadas, nefastas e furtivas.

    Esses cibercriminosos que tem a máquina governamental como sponsor, apareceram pela primeira vez aos olhos do público durante alguns incidentes de segurança cibernética no ano de 2010, incluindo o ataque massivo intitulado Operação Aurora, onde os atacantes (supostamente chineses), ganharam acesso ao Google e a muitas outras grandes empresas, teriam roubado a propriedade intelectual bem como informações sigilosas vigilância do governo dos EUA.

    O incidente ocasionado pelo worm Stuxnet, a partir do qual uma grande potência mundial (provavelmente os EUA), lançou uma amostra de malware extremamente avançada, sorrateira, que não só se escondeu em computadores tradicionais por anos, mas também infectou controladores lógicos programáveis ​​(PLCs) usados ​​em centrífugas. Esse ataque foi projetado para danificar as capacidades de enriquecimento de urânio do Irã. Ao contrário das ferramentas dos outros crackers, esses atacantes criaram um código de ataque muito personalizado, avançado e sofisticado. Seus ataques muitas vezes incorporam vulnerabilidades de software anteriormente desconhecidas, chamadas de falhas 0-Day, para a qual não existe correção ou patch.

    Eles costumam aproveitar para realizar ataques sempre muito audaciosos com as mais avançadas técnicas de evasão em suas atividades, usando rootkits kernel level, estenografia e criptografia. Tudo isso para dificultar ao máximo a descoberta do malware. Além disso, esses crackers ficaram conhecidos por realizar múltiplos ataques, até chegar ao seu destino final. Um dos exemplos disso foi a possibilidade de atacar uma empresa de software para roubar um certificado digital legítimo, e, em seguida, usar esse certificado para assinar o código para o seu malware. Estes ataques avançados deram origem a um termo que está sendo bastante utilizado na indústria de segurança, o famoso "Advanced Persistent Threat" (APT).


    Saiba Mais:

    [1] Malware News http://www.net-security.org/article.php?id=1846&p=3

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L