• Motivos por Trás dos Ciber-ataques Desencadeados pelo Governo em Todo o Mundo

    A especialista FireEye, divulgou um relatório que descreve as características locais e internacionais exclusivas de campanhas de cyber ataque empreendidas pelos governos em todo o mundo. "Armas cibernéticas estão sendo usadas ​​como uma certa vantagem no conflito do mundo real", disse Kenneth Geers, analista sênior de ameaças globais da FireEye."


    Guerra Cibernética Abrange o Mundo Todo

    As regiões têm seu próprio conjunto de armas cibernéticas, que vão usar para tirar vantagem quando se trata de um conflito ou para ajudar seus aliados. O mundo está em uma verdadeira guerra cibernética, com os ataques acontecendo em todas as direções e localizações. Os ataques cibernéticos abrem caminho para "tiros", que são disparados em tempo de paz para fins geopolíticos imediatos, bem como preparar-se para possíveis futuros ataques. Uma vez que os ataques são localizados e idiossincráticos - a compreensão da geopolítica de cada região pode ajudar na defesa cibernética".


    "O maior desafio para dissuadir, defender-se contra ou retaliar por ataques cibernéticos é o problema de identificar corretamente o cibercriminoso. Além disso, mísseis balísticos vêm com endereços de retorno", disse o professor John Arquilla da Naval Postgraduate School. "Mas os vírus de computador, worms e ataques de negação de serviço, muitas vezes emanam de trás de um véu de anonimato. A melhor oportunidade para romper esse véu, vem com a mistura hábil de técnicas forenses, a partir de elementos com profundo conhecimento das culturas estratégicas dos outros e seus objetivos geopolíticos".


    Ataques Cibernéticos por Regiões

    Ataques cibernéticos já foram comprovados como uma maneira de baixo custo e de alto retorno, para defender a soberania nacional, e para projetar o poder nacional. As características-chave para algumas das regiões incluem:

    - Ásia-Pacífico. Lar de grandes grupos de hackers burocráticos, como o "Comment Crew", que persegue alvos em ataques de força bruta de alta freqüência.

    - Rússia / Leste Europeu. Estes ataques cibernéticos provenientes dessas região, são tecnicamente mais avançados e altamente eficazes em escapar de processos de detecção.

    - Oriente Médio. Os cibercriminosos dessa região são dinâmicos, muitas vezes usando a criatividade e técnicas de engenharia social para enganar os usuários para comprometer seus próprios computadores.

    - Estados Unidos. De lá vem os ataques cibernéticos mais complexos, orientados e rigorosamente projetados até o momento.

    Além disso, o relatório especula fatores que poderiam mudar a paisagem da segurança cibernética do mundo no curto e médio prazo, incluindo:

    Indisponibilidade de infra-estrutura crítica nacional, que está devastando o suficiente para forçar os atacantes a repensar o poder dos ataques cibernéticos. Um tratado de armas cibernético poderia conter o uso de ataques cibernéticos.

    Além do mais, as preocupações de privacidade do PRISM podem conter ataques cibernéticos patrocinados pelo governo nos EUA e no mundo inteiro; novos "atores" podem estar atuando no cenário cyber, mais notavelmente, no Brasil, Polônia e Taiwan; há também maior foco no desenvolvimento de métodos de evasão, que ignoram a detecção.

    "Um ataque cibernético, visto fora de seu contexto geopolítico, permite muito pouco espaço de manobra legal para o estado de defesa, de acordo com o Prof Thomas Wingfield do Marshall Center. "As operações de fake flag e da própria natureza da Internet, fazem atribuição tática a uma espécie de "jogo perdido". No entanto, a atribuição estratégica - a fusão de todas as fontes de inteligência em uma ameaça potencial - permite um nível muito mais elevado de confiança e mais opções para o tomador de decisão. E atribuição estratégica começa e termina com a análise geopolítica".


    Prevalência dos Ciber-ataques

    As redes de computadores de três grandes bancos sul-coreanos e três emissoras de televisão, ficaram fora do ar quase que simultaneamente em uma quarta-feira de junho, horário de Seul. A Coreia do Sul está investigando a possibilidade do cyber ataque ter vindo da Coreia do Norte. Duas principais emissoras de televisão, KBS e MBC, tiveram seus computadores travados e o site da KBS saiu do ar. O canal de TV paga YTN reportou problemas similares.

    Os ataques às instituições financeiras Shinham Bank, Jeju e Nonghyup afetaram a Internet e os serviços de mobile banking, enquanto os caixas eletrônicos estavam fora do ar.

    Esse ataque de malware na Coreia, é diferente porque foi focado em enxugar e destruir os sistemas infectados, ao invés de roubar dados. No passado, os criadores dos ataques recorriam ao DDoS para remover a infraestrutura de uma nação, assim como o ataque de 2007 que ocorreu na Estônia ou o ataque de 2012 nos bancos americanos, desencadeado por um grupo afirmando ser hacktivistas iranianos.

    O ataque à Coreia do Sul teve como objetivo corromper o MBR (master boot record), e então apagar todos os dados do disco, o que inutilizava o computador. Além disso, o malware era programado, ou seja, estava dormindo sendo programado para iniciar o ataque em 20 de março de 2013 às 14 horas".

    Então o malware, que tinha capacidade de evasão, buscaria uma determinada versão do Windows e iniciaria a ameaça, que é escrita diretamente no disco rígido, corrompendo assim o MBR. O malware também encontrava e desabilitava o antivírus AhnLabs - antivírus comum na Coreia. Isso indica que os ataques tinham como alvo específico a Coreia. Nesse contexto, a expert FireEye forneceu a proteção contra esses ataques e os identificou como Trojan.Hastati. Os assinantes do Dynamic Threat Intelligence (DTI) na nuvem receberam atualizações para impedir que esses ataques fossem disseminados.

    O malware, porém, não tinha CnC callbacks e é dedicado a destruir o host infectado. No Windows Vista, 7 e 8 ele enumera todos os arquivos no sistema e sobrescreve os arquivos usando a palavra-chave "Hastati". Ele então apaga esses arquivos tornando impossível a sua recuperação.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=15675

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L