Página Inicial



twitter

Facebook

  Notícia
|

 

EMPRESA CAÇADORA DE VÍRUS KASPERSKY É ALVO DE ATAQUE CIBERNÉTICO

15/06/2015

A empresa de segurança de TI russa Kaspersky Lab descobriu uma nova e poderosa arma cibernética, aparentemente uma sucessora do famoso software Duqu. Mas, desta vez, a própria caçadora de vírus foi o alvo do ataque. Agora, especialistas estão se esforçando para identificar quem está por trás disso.

Para os funcionários da empresa russa Kaspersky Lab, rastrear vírus, worms e cavalos de Troia e torná-los inofensivos é tudo o que fazem num dia de trabalho. Mas há pouco tempo eles descobriram um ataque cibernético particularmente sofisticado em várias das redes da própria empresa. A invasão tinha passado despercebida por meses.

Funcionários da empresa acreditam que o ataque começou quando um funcionário de um dos escritórios da Kaspersky na região Ásia-Pacífico recebeu um e-mail aparentemente inofensivo com malware escondido no anexo, que depois se instalou nos sistemas da companhia e se espalhou a partir dali. O malware aparentemente só foi descoberto "nos últimos meses", durante testes de segurança interna.

O ataque à Kaspersky Lab mostra "como a corrida armamentista cibernética está escalando rapidamente", afirma um relatório de 45 páginas da empresa sobre o incidente, que foi disponibilizado para Spiegel antes de sua divulgação. O motivo exato da invasão "ainda não está claro" para os analistas da Kaspersky, mas os invasores estavam aparentemente interessados em temas como tecnologias futuras, sistemas operacionais seguros e nos estudos mais recentes da Kaspersky sobre as chamadas "ameaças avançadas persistentes", ou APTs na sigla em inglês. Os funcionários da Kaspersky também classificaram o software espião usado contra a empresa como um APT.
 

Malware de ponta

Os analistas da sede da Kaspersky em Moscou já conheciam características importantes do malware que estava sendo usado contra eles. Eles acreditam que é uma versão modernizada e reelaborada da arma cibernética Duqu, que chegou às manchetes internacionais em 2011. O sistema de armas cibernéticas que foi agora descoberto tem uma estrutura modular e parece ter sido construído a partir da antiga plataforma Duqu.

Na verdade, diz Vitaly Kamluk, principal pesquisador de segurança da Kaspersky e integrante chave da equipe que analisou o novo vírus, algumas das passagens e métodos de software são "muito semelhantes ou quase idênticos" aos do Duqu. A empresa agora está se referindo ao invasor eletrônico como "Duqu 2.0." "Chegamos à conclusão de que é a mesma ameaça", disse Kamluk.

Quando questionados sobre quem eles acreditam que pode estar por trás do software, os funcionários da Kaspersky costumam ser lacônicos –-a atitude típica mostrada por empresas internacionais de segurança de TI quando se trata de atribuir autoria. O arsenal modular Duqu é "extremamente complexo e muito, muito caro", diz Kamluk. "Criminosos cibernéticos não estão por trás disso. Estamos provavelmente lidando com os ameaças de estado-nação." Como costuma acontecer na difícil busca pelos verdadeiros autores de ataques cibernéticos, que a tecnologia pode ocultar com facilidade, os próprios alvos podem fornecer as melhores pistas sobre quem pode estar por trás do ataque.
 

Os criadores do Duqu tinham um "grande interesse em questões geopolíticas", disse o analista da Kaspersky. O programa nuclear do Irã também foi alvo da onda mais recente de ataques, como aconteceu com o vírus Duqu anterior.

"Eles superaram qualquer outra invasão de APT –-ninguém tinha alcançado este nível de competência até agora", diz Kamluk. "Em nossa opinião, os autores superaram até mesmo o Equation Group. Este é um nível totalmente diferente de ameaça."

Envolvimento norte-americano e israelense?

Como explica Kamluk, várias das novas invasões do Duqu 2.0 aconteceram em 2014 e 2015, ligadas às conversações do "P5 + 1" –-as negociações diplomáticas em andamento desde 2006 entre a Inglaterra, Estados Unidos, China, França, Rússia e Alemanha, com o objetivo de chegar a um acordo com o Irã sobre seu programa nuclear. Kaspersky diz que vestígios do Duqu 2.0 foram aparentemente detectados em três dos locais das reuniões do P5 + 1, que mudavam com frequência.

Algumas das reuniões secretas das delegações durante o período em questão aconteceram na capital austríaca de Viena e em Lausane, na Suíça, normalmente em hotéis. Para "proteger nossos clientes e as investigações em andamento", a Kaspersky não se dispôs a revelar exatamente quais locais de reuniões foram infectados pelo vírus. O diretor político do Ministério das Relações Exteriores representou a Alemanha nos grupos de trabalho, enquanto o ministro das Relações Exteriores Frank-Walter Steinmeier participou das reuniões mais importantes.
 

Empresa caçadora de vírus Kaspersky é alvo de ataque cibernético
3

Jornais Internacionais - Der Spiegel

Ouvir texto
0:00
Imprimir Comunicar erro
  • Brendan Smialowski/Reuters

    Várias das novas invasões do Duqu 2.0 aconteceram em 2014 e 2015, ligadas às conversações do "P5 + 1" ?-as negociações diplomáticas em andamento desde 2006 entre a Inglaterra, Estados Unidos, China, França, Rússia e Alemanha, com o objetivo de chegar a um acordo com o Irã sobre seu programa nuclear

    Várias das novas invasões do Duqu 2.0 aconteceram em 2014 e 2015, ligadas às conversações do "P5 + 1" ?-as negociações diplomáticas em andamento desde 2006 entre a Inglaterra, Estados Unidos, China, França, Rússia e Alemanha, com o objetivo de chegar a um acordo com o Irã sobre seu programa nuclear

A empresa de segurança de TI russa Kaspersky Lab descobriu uma nova e poderosa arma cibernética, aparentemente uma sucessora do famoso software Duqu. Mas, desta vez, a própria caçadora de vírus foi o alvo do ataque. Agora, especialistas estão se esforçando para identificar quem está por trás disso.

Para os funcionários da empresa russa Kaspersky Lab, rastrear vírus, worms e cavalos de Troia e torná-los inofensivos é tudo o que fazem num dia de trabalho. Mas há pouco tempo eles descobriram um ataque cibernético particularmente sofisticado em várias das redes da própria empresa. A invasão tinha passado despercebida por meses.

Funcionários da empresa acreditam que o ataque começou quando um funcionário de um dos escritórios da Kaspersky na região Ásia-Pacífico recebeu um e-mail aparentemente inofensivo com malware escondido no anexo, que depois se instalou nos sistemas da companhia e se espalhou a partir dali. O malware aparentemente só foi descoberto "nos últimos meses", durante testes de segurança interna.

O ataque à Kaspersky Lab mostra "como a corrida armamentista cibernética está escalando rapidamente", afirma um relatório de 45 páginas da empresa sobre o incidente, que foi disponibilizado para Spiegel antes de sua divulgação. O motivo exato da invasão "ainda não está claro" para os analistas da Kaspersky, mas os invasores estavam aparentemente interessados em temas como tecnologias futuras, sistemas operacionais seguros e nos estudos mais recentes da Kaspersky sobre as chamadas "ameaças avançadas persistentes", ou APTs na sigla em inglês. Os funcionários da Kaspersky também classificaram o software espião usado contra a empresa como um APT.

Malware de ponta

Os analistas da sede da Kaspersky em Moscou já conheciam características importantes do malware que estava sendo usado contra eles. Eles acreditam que é uma versão modernizada e reelaborada da arma cibernética Duqu, que chegou às manchetes internacionais em 2011. O sistema de armas cibernéticas que foi agora descoberto tem uma estrutura modular e parece ter sido construído a partir da antiga plataforma Duqu.

Na verdade, diz Vitaly Kamluk, principal pesquisador de segurança da Kaspersky e integrante chave da equipe que analisou o novo vírus, algumas das passagens e métodos de software são "muito semelhantes ou quase idênticos" aos do Duqu. A empresa agora está se referindo ao invasor eletrônico como "Duqu 2.0." "Chegamos à conclusão de que é a mesma ameaça", disse Kamluk.

Quando questionados sobre quem eles acreditam que pode estar por trás do software, os funcionários da Kaspersky costumam ser lacônicos –-a atitude típica mostrada por empresas internacionais de segurança de TI quando se trata de atribuir autoria. O arsenal modular Duqu é "extremamente complexo e muito, muito caro", diz Kamluk. "Criminosos cibernéticos não estão por trás disso. Estamos provavelmente lidando com os ameaças de estado-nação." Como costuma acontecer na difícil busca pelos verdadeiros autores de ataques cibernéticos, que a tecnologia pode ocultar com facilidade, os próprios alvos podem fornecer as melhores pistas sobre quem pode estar por trás do ataque.

Os criadores do Duqu tinham um "grande interesse em questões geopolíticas", disse o analista da Kaspersky. O programa nuclear do Irã também foi alvo da onda mais recente de ataques, como aconteceu com o vírus Duqu anterior.

"Eles superaram qualquer outra invasão de APT –-ninguém tinha alcançado este nível de competência até agora", diz Kamluk. "Em nossa opinião, os autores superaram até mesmo o Equation Group. Este é um nível totalmente diferente de ameaça."

Envolvimento norte-americano e israelense?

Como explica Kamluk, várias das novas invasões do Duqu 2.0 aconteceram em 2014 e 2015, ligadas às conversações do "P5 + 1" –-as negociações diplomáticas em andamento desde 2006 entre a Inglaterra, Estados Unidos, China, França, Rússia e Alemanha, com o objetivo de chegar a um acordo com o Irã sobre seu programa nuclear. Kaspersky diz que vestígios do Duqu 2.0 foram aparentemente detectados em três dos locais das reuniões do P5 + 1, que mudavam com frequência.

Algumas das reuniões secretas das delegações durante o período em questão aconteceram na capital austríaca de Viena e em Lausane, na Suíça, normalmente em hotéis. Para "proteger nossos clientes e as investigações em andamento", a Kaspersky não se dispôs a revelar exatamente quais locais de reuniões foram infectados pelo vírus. O diretor político do Ministério das Relações Exteriores representou a Alemanha nos grupos de trabalho, enquanto o ministro das Relações Exteriores Frank-Walter Steinmeier participou das reuniões mais importantes.

Sem discutir informações técnicas de fundo ou mencionar o Duqu, o Wall Street Journal já tinha informado em março sobre a espionagem nas negociações do P5 + 1. Citando fontes anônimas do governo dos EUA, o jornal atribuía a culpa à inteligência israelense, mas os políticos israelenses negavam veementemente a acusação.

Analistas da Kaspersky identificaram outra fonte de infecção com o Duqu 2.0, ligada à celebração do 70º aniversário da libertação do campo de concentração de Auschwitz II-Birkenau. Entre os convidados do principal evento comemorativo, no final de janeiro, estavam o presidente alemão Joachim Gauck, o presidente francês François Hollande, o presidente ucraniano Petro Poroschenko e outros líderes nacionais.

Em 2011, os analistas da Kaspersky encontraram alguns dados peculiares no código do programa da versão anterior do Duqu, que confirmaram suas suspeitas. Os dados sugeriam que os autores do código eram de um país localizado no fuso horário GMT + 2, e que trabalhavam bem menos às sextas-feiras e nunca aos sábados, o que corresponde à semana de trabalho israelense, na qual o Sabbath começa na sexta-feira.

O mais impressionante, contudo, é que o Duqu tinha grandes semelhanças com o worm Stuxnet, descoberto em 2010. Vários especialistas internacionais de TI tiveram certeza, portanto, de que devia haver, pelo menos, uma ligação próxima entre os criadores das duas armas cibernéticas. E o Stuxnet, que manipulou as unidades de controle na instalação de enriquecimento de urânio em Natanz, no Irã, e causou danos irreparáveis a um grande número de centrífugas, foi um projeto americano-israelense.
 

O estrago está feito

Mas de acordo com a Kaspersky, quase todos os registros de horário da nova versão foram manipulados de modo a criar uma pista falsa. Além disso, ele contém uma referência ofensiva a um conhecido hacker chinês, o que os russos também acreditam que é uma tentativa deliberada para despistar. Ainda assim, diz Kamluk, os autores cometeram pequenos erros que estão escondidos no fundo dos módulos individuais. Por exemplo, a data e hora originais ainda aparecem.

A Kaspersky Lab já divulgou um memorando interno para os funcionários sobre o incidente e também pediu o apoio das agências de segurança russas e britânicas e notificou a Microsoft. Como na primeira onda do Duqu, desta vez os autores do ataque utilizaram vulnerabilidades novas e até então desconhecidas dos computadores Windows, conhecidas como "zero day exploits".

Identificar quem exatamente está por trás do ataque é quase irrelevante para a Kaspersky, cuja reputação deve sofrer por conta do acontecido. "Uma das coisas mais difíceis que uma empresa de segurança de TI pode fazer é admitir que houve um ataque cibernético bem sucedido contra seus próprios sistemas, diz o relatório da empresa sobre o incidente. No entanto, a administração não hesitou em divulgar o incidente, diz Kamluk, até porque a Kaspersky já havia identificado outras partes afetadas em países do Ocidente, Ásia e Oriente Médio. 

 
 
 
 
 
Fonte: Uol

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar