Importante observar que a grande maioria dos ataques acontece entre 6h e 16h UTC (Universal Time Coordinated), e, em geral, as marcas presentes no malware estão em inglês. Em quase 200 arquivos binários maliciosos e no conteúdo operacional relacionado, existe uma falta total de conteúdo cirílico ou o uso de transliteração. Além disso, há fortes evidências do uso dos idiomas francês e russo. Estes dados fazem parte de uma análise referente à uma campanha de cyberespionagem munidal, que foi batizada de Crouching Yeti, também chamada de Energetic Bear, que tinha como alvo vários setores estratégicos, como o setor empresarial e o acadêmico.
De acordo com relatos de Nicolas Brulez, principal investigador de Segurança da Kaspersky Lab, o Energetic Bear foi o nome que a CrowdStrike inicialmente deu a essa campanha por haver indícios de que sua origem esteja na Rússia. "The Bear" (O Urso) é por atribuição, pois os pesquisadores da CrowdStrike tem quase certeza de que esta campanha tem origem russa. A Kaspersky Lab ainda investiga todas as pistas recebidas e faz um cruzamento de todas as informações possíveis, mas no momento não existe nada definitivo para que possa chegar a uma conclusão. Além disso, a análise da empresa demonstra que o enfoque global dos cybercriminosos é muito mais amplo que vai além das organizações produtoras de energia.
Pesquisadores não Detectaram Evidências de Exploits
Com base nestes dados, os profissionais da Kaspersky decidiram dar um novo nome para essa ocorrência. De acordo com eles, um Yeti faz lembrar um urso, mas com uma origem misteriosa. Além do mais, os investigadores da Kaspersky Lab, não encontraram evidências do uso de exploits ou de nenhum tipo de malware sofisticado. Segundo o levantamento realizado, os cybercriminosos não utilizaram exploits zero day, somente exploits que estão amplamente disponíveis na Internet. Os especialistas também encontraram provas da existência de cinco tipos de ferramentas maliciosas, utilizadas pelos cybercriminosos para conseguir informação valiosa dos sistemas comprometidos:
- Trojan Havex
- Trojan Sysmain
- Backdoor ClientX
- Backdoor Karagany e Trojans relacionados
Trojan Havex e suas Muitas Versões
Sem dúvida alguma, os pesquisadores afirmaram que a ferramenta mais amplamente utilizada é o Trojan Havex. Os investigadores da Kaspersky Lab descobriram um total de 27 versões diferentes desse programa malicioso, além de muitos módulos adicionais. Trata-se de ferramentas destinadas a recompilar dados de sistemas de controle industrial. A partir do seu centro de comando e controle, o Havex e as demais ferramentas maliciosas se conectam a uma ampla rede de websites comprometidos. Além disso, estes sites abrangem a informação da vítima e servem de comando aos sistemas infectados junto com módulos adicionais do malware.
Coleta e Transmissão de Dados para Cybercriminosos
A lista dos módulos descarregáveis inclui ferramentas para o roubo de senhas, contatos de Outlook e captura da tela. Entretanto, há a presença de módulos de busca e roubo de documentos de texto, planilhas, bases de dados, arquivos PDF, unidades virtuais, arquivos protegidos por senhas, chaves de segurança PGP, dentre outros elementos afins. De acordo com os especialistas, atualmente, o Trojan Havex é conhecido por ter dois módulos muito especiais destinados a coletar e transmitir para os cybercriminosos, todos os dados de ambientes de TI industriais mais específicos.
Esquemas de Cyber-espionagem Muito Bem Articulados com "The Mask"
Em fevereiro deste ano de 2014, a equipe de pesquisadores da área de segurança da Kaspersky Lab anunciou a descoberta do "The Mask", também conhecido como Careto. Trata-se de uma ameaça avançada, originária da Espanha e que está envolvida em operações de cyberespionagem desde o ano de 2007. O que torna o "The Mask" uma ameaça específica, é o alto nível de complexidade do kit de ferramentas usado pelos cybercriminosos. Isso inclui um malware extremamente sofisticado, um rootkit, bootkit, versões para sistemas Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone).
Compilação de Informações Sensíveis a Partir de Sistemas Infectados
Os principais alvos dessa campanha são instituições governamentais, embaixadas e escritórios diplomáticos, companhias de energia, distribuidoras de óleo e gás, organizações de pesquisa e ativistas. As vítimas desse ataque dirigido foram encontradas distribuídas em 31 países, que vão desde a região do Oriente Médio e Europa até a África e Américas. A principal finalidade dos cybercriminosos é compilar dados sensíveis dos sistemas infectados. Isso inclui além de documentos de escritório, várias chaves criptográficas, configurações VPN, chaves SSH (com o objetivo de identificar o usuário em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client para automaticamente, abrir uma conexão a partir de um computador reservado).
Conforme disseram os pesquisadores, há vários motivos os fazem acreditar que isso poderia ser uma campanha organizada por um Estado-nação. Antes de qualquer coisa, eles observaram, com muita atenção, um alto grau de profissionalismo nos procedimentos operacionais do grupo responsável por desencadear estes ataques. Desde o gerenciamento de infraestrutura até o desligamento da operação, evitando qualquer tipo de intrusão através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log.
Segundo Costin Raiu, diretor de Pesquisa e Análise Global da Kaspersky Lab, todas essa medidas preventivas combinadas colocam esse ataque APT à frente do Duqu em termos de sofisticação, tornando-se uma das ameaças mais avançadas no momento. Ele acrescentou ainda, que esse nível de segurança operacional não é habitual para os grupos de cybercriminosos.
Pesquisadores da Kaspersky Lab, inicialmente, descobriram o The Mask no ano passado, quando observaram tentativas de explorar uma vulnerabilidade em produtos da empresa que foram corrigidos há cinco anos. O exploit possibilitou que o malware garantisse a capacidade de evitar a detecção. Além disso, esta situação levantou o interesse dos pesquisadores e dessa forma foi que a investigação começou.
Capacidade Destruidora do "The Mask"
No que diz respeito às vítimas, uma infecção com o "The Mask" pode ser desastrosa. O ataque intercepta todos os canais de comunicação e coleta as informações mais importantes da máquina da vítima. A detecção é extremamente difícil, por causa de recursos furtivos de rootkit, funcionalidades built-in e módulos de cyber-espionagem adicionais.
Em relação às principais conclusões tiradas a partir de todo esse processo investigativo, os desenvolvedores da praga parecem ser nativos da língua espanhola, o que raramente tem sido observado em ataques APT. Além disso, a campanha está ativa há pelo menos cinco anos até janeiro de 2014 - algumas amostras do "Careto" foram compiladas em 2007. Vale ressaltar que durante o curso das investigações da Kaspersky Lab, os servidores de comando e controle (C&C) foram fechados.
Países Infectados pela Campanha de Cyber-espionagem
Na sequência do levantamento, foi possível observar, pelo menos, 380 vítimas únicas entre mais de 1000 IPs. As infecções foram observadas em diversos países incluindo a Alemanha, Argélia, Argentina, Bélgica, Bolivia, Brasil, China, Colômbia, Costa Rica, Cuba, Egito, Espanha, Estados Unidos, França, Guatemala, Gibraltar, Irã, Iraque, Líbia, Malásia, Marrocos, México, Noruega, Paquistão, Polónia, Reino Unido, South África, Suíça, Tunísia, Turquia e Venezuela. Outro fator que chamou bastante atenção dos pesquisadores, foi a complexidade e universalidade do conjunto de ferramentas usadas pelos cybercriminosos. Esse relevante fator, faz com que esta operação de cyberespionagem, receba uma atenção ainda maior e bastante especial.
Isso inclui exploits high-end, uma amostra extremamente sofisticada de malware, um rootkit, um bootkit, versões do Mac OS X e Linux e possivelmente versões para iPad/iPhone (iOS). Também é válido ressaltar que o The Mask usou um ataque personalizado contra produtos da Kaspersky Lab.
Entre os vetores do ataque, pelo menos um Adobe Flash Player exploit (CVE-2012-0773) foi usado, tendo sido projetado para versões do Flash Player anteriores ao 10.3 e 11.2. Além de tudo isso, este exploit foi originalmente descoberto pela equipe de pesquisadores da VUPEN e foi usado no ano de 2012 para escapar do Sandbox do Google Chrome e ganhou o concurso CanSecWest Pwn2Own.
Métodos de Infecção Incluem Práticas de Phishing
De acordo com a análise da Kaspersky Lab, a camapanha The Mask lança phising com links para um site malicioso, site este que contém uma série de exploits projetados para infectar o visitante, dependendo da configuração do sistema. Depois da infecção, o site redireciona o usuário para o site referenciado no e-mail, que pode ser um vídeo do YouTube ou até mesmo um portal de notícias.
Uso de Subdomínios de Sites e Dificuldade na Detecção de Rootkits
Importante observar o que os websites explorados não afetam automaticamente os usuários; ao invés disso, os atacantes guardam os exploits em pastas específicas no site, que não estão diretamente referenciados em qualquer lugar, exceto em e-mails maliciosos. Às vezes, os cybercriminosos usam subdomínios nos sites, para fazê-los parecerem mais reais e convincentes. Estes subdomínios simulam subseções dos principais jornais na Espanha, além de alguns noticiários internacionais, como por exemplo, "The Guardian" e "Washington Post".
Dessa forma, as interceptações feitas por malware em todos os canais de comunicação, recolhem as informações mais importantes a partir do sistema infectado, e o processo de detecção acaba tornando-se extremamente difícil por causa de rootkits.
O "The Mask" é um sistema altamente modular, que oferece suporte a encaixes e arquivos de configuração, que lhe permitem executar um grande número de funções. Além de funcionalidades embutidas, os operadores do The Mask podem carregar módulos adicionais que executariam qualquer tarefa maliciosa. Os produtos da Kaspersky Lab detectam e eliminam todas as versões conhecidas do The Mask/ Careto.
Saiba Mais:
[1] Convergência Digital http://convergenciadigital.uol.com.b...8#.VCetkvldWpx
[2] Kaspersky Lab http://latam.kaspersky.com/sobre-kas...scubren-la-ope