Snowden: espionagem pelo Reino Unido

Autor: Sander Venema, 10/12/2014. Tradução: Anders Bateva.

Em 2010, a Belgacom, a companhia belga de telecomunicações, foi hackeada. Este ataque foi descoberto em Setembro de 2013, e estava rolando há anos. Nós sabemos que este ataque é trabalho da inteligência ocidental, mais especificamente, do GCHQ, graças ao Edward Snowden. Esta operação chamava-se Operation Socialist. Agora, porém, nós sabemos um pouco mais sobre como exatamente este ataque foi realizado, e através de quais meios. Conexões de internet de empregados da Belgacom eram enviadas para uma página falsa do LinkedIn que era usada para infectar os computadores deles com malware, chamado “implante” no vocabulário do GCHQ. Agora nós sabemos que Regin foi o nome dado ao malware altamente complexo que parece ter sido usado na Operação Socialista.

Slide 1 “TOP SECRET” sobre a Operation Socialist, indicando a invasão nos roteadores centrais da Belgacom como prioridade.

A Symantec recentemente reportou sobre este malware (o artigo técnico completo, em PDF, pode ser encontrado aqui), e seu comportamento é altamente complexo. Ele é capaz de adaptar-se a missões bem específicas, e os autores fizeram imenso esforço para torná-lo difícil de detectar. O malware é capaz de adaptar-se e mudar, e já que a maioria das detecções de anti-vírus dependem de heurística, ou impressões digitais especificas de malwares conhecidos, Regin foi capaz de enganar software anti-vírus e permanecer sem ser detectado. Entretanto, a Symantec somou 2+2 e agora revelou os funcionamentos internos do Regin.

Países alvo do malware Regin. Os dois mais focados são: Rússia (28%) e Arábia Saudita (24%). Totalizam juntos 52%.

As infecções deram-se entre empresas de telecomunicação e backbones de internet (20% das infecções), a hoteis, companhias de energia, linhas aéreas, e setores de pesquisa, mas a maioria das infecções foi de indivíduos comuns e pequenas empresas (48%). Também, os países-alvo são diversos, mas a vasta maioria dos ataques foi direcionado contra a Rússia (28%) e Arábia Saudita (24%).

O malware Regin funciona muito tal qual um framework, o qual os atacantes podem usar para injetar vários tipos de código, chamados “payloads”, para fazer coisas bem específicas como capturar a tela, tomar o controle do mouse, roubar senhas, monitorar seu tráfego de rede, e obter arquivos. Vários Troianos de Acesso Remoto foram encontrados, apesar de que payloads ainda mais complexos também terem sido encontrados ao largo, como um monitorador de tráfego de servidor web Microsoft IIS (isto torna fácil espionar em quem visita um site específico, entre outras coisas). Outro exemplo de um payload altamente complexo que foi encontrado é malware para farejar paineis de administração de controladores de estações-base de telefones celulares.

Como funciona o Regin

Como mencionado acima, o Regin funciona como um framework modular, onde os atacantes podem ligar/desligar certos elementos e carregar código específico, chamado “payload”, para criar uma versão do Regin que é especificamente feita para uma missão específica. Note que não é garantido que todos os payloads foram descobertos, e que podem então haver mais do quê aqueles especificados no reporte.

Setores alvo do Regin. Os dois maiores são: indivíduos comuns + pequenos negócios (48%), e backbones de companhias de telecomunicações (28%). Juntos totalizam 76%.

O Regin não parece ter por alvo nenhum setor industrial específico, e apesar das infecções terem sido encontradas por todo lado, elas foram encontradas principalmente em companhias de telecomunicações, indivíduos comuns, e pequenas empresas. Atualmente, não é conhecido quais vetores de infecção têm a possibilidade de serem usados para infectar um alvo específico com o malware Regin, mas alguém poderia, por exemplo, cogitar que se enganasse o alvo a clicar em um certo link em um e-mail, visitar sites fraudulentos, ou talvez através de um aplicativo vulnerável instalado no computador da vítima, que pode ser usado para infectar o alvo com Regin. Em um dos casos, de acordo com o reporte da Symantec, uma vítima foi infectada através do Yahoo! Messenger. Durante a Operação Socialista, o GCHQ usou uma página falsa do LinkedIn para enganar engenheiros da Balgacom a instalarem o malware. Então, é razoável supor que a infecção se dá nestas linhas, mas outras possibilidades obviamente existem.

Os vários estágios do Regin.

Regin tem 6 estágios em sua arquitetura, chamados de Estágio 0 a Estágio 5 no report da Symantec:

  1. um cavalo-de-troia ‘dropper’ instala o malware no computador-alvo;
  2. Regin instala vários drivers;
  3. Regin instala mais drivers;
  4. Regin carrega código de compressão, criptografia, rede e EVFS (contâiner de arquivo criptografado);
  5. Regin carrega o contâinter de arquivo criptografado e mais alguns drivers adicionais de kernel, mais os ‘payloads’;
  6. Regin carrega o ‘payload’ principal e os arquivos de dados necessários para sua operação.

O malware parece ser focado primariamente contra computadores rodando o sistema operacional Microsoft Windows, uma vez que todos os arquivos discutidos no reporte do Symantec são altamente específicos do Windows. Mas podem haver payloads por aí que tenham por alvo computadores GNU/Linux ou OSX. A extensão plena do malware ainda não foi revelada, e será interessante descobrir mais sobre as exatas capacidades deste malware. As capacidades mencionadas no reporte já são bem vastas e podem ser usadas para espionar os computadores das pessoas por períodos prolongados de tempo, mas eu tenho certeza de que devem haver mais ‘payloads’ por aí, tenho certeza de que apenas arranhamos a superfície do que é possível.

Regin é uma ameaça altamente complexa para computadores ao redor do mundo, e parece ser especificamente desenhado para coleta de dados e campanhas de coleta de inteligência de grande escala. O desenvolvimento deve ter requerido significativos investimentos de tempo, dinheiro, e recursos, e pode muito bem ter levado alguns anos. Alguns componentes do Regin foram traçados desde 2003.

Originário dos serviços ocidentais de inteligência?

Nos anos recentes, vários governos, como o da China e da Rússia, foram indicados como responsáveis em várias tentativas de hacking e ataques em infraestrutura ocidental. No artigo aqui linkado, o FBI acusa os russos de hackear pelo propósito de espionagem econômica. Entretanto, os governos ocidentais também engajaram-se em guerra digital e espionagem, não apenas para propósitos de segurança nacional (que é um termo que nunca foi definido legalmente), mas também justamente em espionagem econômica. No começo da década de 1990, como parte do programa ECHELON, a NSA interceptou comunicações entre a Airbus e as linhas aéreas nacionais da Arábia Saudita. Eles estavam negociando contratos com os sauditas, e a NSA passou informação para a Boeingm que foi então capaz de entregar uma proposta mais competitiva, e devido a isto, a Airbus (europeia) perdeu o contrato de US$6 bilhões para a Boeing (estadunidense). Isto foi confirmado no Reporte do Parlamento Europeu sobre o ECHELON, em 2001. Regin também, bem claramente, demonstra que agências de inteligência ocidentais estão profundamente envolvidas em espionagem digital e guerra digital.

Devido à natureza altamente complexa do malware Regin, e a significativa quantia de esforço e tempo requeridos para desenvolvê-lo, testá-lo, e pô-lo em ação, juntamente da natureza altamente específica de vários ‘payloads’ e a modularidade do sistema, é altamente provável que um ator estatal estava por detrás do Regin. Também, significativo esforço foi aplicado para fazer o sistema bastante camuflado e difícil de detectar por softwares anti-vírus. Ele foi cuidadosamente engenhado para burlar algoritmos de detecção heurística de software antivírus e mais, algum esforço foi posto em prática para fazer o malware Regin difícil de identificar unicamente (“impressão digital”), devido à sua natureza modular.

Além do mais, quando olha-se para os ataques recentemente descobertos, e mais especificamente onde as vítimas estão geograficamente localizadas, parece que a vasta maioria dos ataques foram mirados contra a Rússica, e a Arábia Saudita.

De acordo com The Intercept e Ronald Prins da companhia holandesa de segurança Fox-IT, não há dúvidas de que o GCHQ e a NSA estão por detrás do malware Regin. O jornal Der Spiegel revelou que malware da NSA infectou as redes de computadores da União Europeia. Este poderia muito bem ser o mesmo malware.

Stuxnet

 

Um caso similar de malware patrocinado por Estados apareceu em junho de 2010. No caso da Stuxnet, uma quantia desproporcional de plantas industriais do Irã foram alvo. De acordo com a Symantec, que publicou vários reportes a respeito disto, a Stuxnet foi usada em uma situação para mudar a velocidade de cerca de 1000 centrífugas de gas na usina nuclear iraniana de Natanz, consequentemente sabotando a pesquisa feita pelos cientistas iranianos. Esta manipulação sorrateira poderia ter causado uma explosão nesta instalação nuclear.

Dado o fato de que Israel e Estados Unidos são muito contrários ao desenvolvimento de energia nuclear no Irã para propósitos pacíficos, por pensarem que o Irã está desenvolvendo armas nucleares ao invés de usinas de energia, juntamente do propósito da Stuxnet de atacar unidades industriais, entre estas plantas nucleares no Irã, indica fortemente que os governos dos EUA ou de Israel estão por detrás do malware da Stuxnet. Ambos os países têm a capacidade de desenvolvê-lo, e de fato, eles começaram a pensar sobre este projeto desde 2005, quando as primeiras variantes do Stuxnet foram criadas.

Perigos de malware patrocinados por Estados

Os perigos deste malwares estatais é, claramente, que, uma vez ele seja descoberto, ele pode muito bem levar as companhias, indivíduos ou estados que foram alvo a tomar contra-medidas, levando a uma corrida armamentícia digital. Isto pode subsequentemente levar a guerra, especialmente quando a infraestrutura crítica de uma nação for alvo.

Os perigos de estados criarem malwares como este e deixarem-os à solta é que isto compromete não apenas a segurança dos peixes grandes, mas mesmo nossa própria segurança. A segurança compromete-se quando os bugs são deixados sem resolução, e backdoors são construídas para deixar os espiões e malwares entrarem e fazerem seus trabalhos. Isto afeta a segurança de todos nós. Não é garantido que malware e backdoors governamentais serão usados apenas por governos. Outros podem tomar controle destes malwares também, e vulnerabilidades de segurança podem ser usadas por outros além dos espiões. Pense nos criminosos que estão buscando detalhes de cartões de crédito, ou que roubam identidades e subsequentemete usam-nas para propósitos nefastos.

Governos hackeando a infraestrutura crítica de outras nações constituiria um ato de guerra, penso eu. Hoje en dia, qualquer nação que vale algo tem montado uma ramificação de guerra digital, onde exploits são comprados, malwares desenvolvidos, e postos em ação. Uma vez que você comece a causar milhões de euros em danos à infraestrutura de outras nações, você está numa ladeira escorregadia. Outros países podem hackear de volta, e isso inevitavelmente levará a uma corrida armamentícia digital; e o dano dela não apenas afeta computadores e infraestrutura governamental, mas também sistemas, computadores, corporações, e até as vidas dos cidadãos. O ataque dos EUA às instalações nucleares do Irã com o malware Stuxnet foi inacreditavelmente perigoso e poderia ter causado severos acidentes. Pense no quê teria ocorrido se um derretimento de reator nuclear! Mas instalações nucleares não são as únicas, há outras instalações que poderiam muito bem ter sido alvo de ataques, como hospitais.

Usar malware para atacar e hackear a infraestrutura de outros países é inacreditavelmente perigoso e pode apenas levar a mais problemas. Nada nunca foi resolvido desta forma. Isto causará um mercado clandestino de exploits florescer, o que significará que menos e menos exploits serão consertados. Claramente, estes valem muito dinheiro, e muitas pessoas que anteriormente iriam apontar as vulnerabilidades e suprir pacotes de correção aos vendedores de software estão vendendo estas vulenrabilidades no mercado negro.

Vulnerabilidades de segurança precisam ser resolvidas de bate-pronto, para que todos nós possamos estar mais seguros, ao invés dos espiões usarem bugs de software, vulnerabilidades, e backdoors contra nós, e então deliberadamente deixarem abertos rombos para os criminosos também os deixarem.

Licença Creative Commons Este post de Anders Bateva está licenciado com uma Licença Creative Commons – Atribuição-NãoComercial 4.0 Internacional.
Baseado no trabalho disponível em Sander Venema.

2 comentários

  • Manutenção: este post teve um desempenho fraco nos últimos 365 dias: apenas 38 acessos. Renomeei-o então, para ver se melhora até a próxima verificação. Se não melhorar, corre o risco de ser deletado.

  • Revisão:
    * o link https://pt.wiktionary.org/heur%C3%ADstica está quebrado, pois o endereço certo é https://pt.wiktionary.org/wiki/heur%C3%ADstica . Convém consertar, para que este erro não abaixe o PageRank deste artigo.
    * o trecho “Uma vez que você comece a causar milhões de euros em danos à infraestrutura de outras nações, você está numa ladeira escorregadia.” está mal-traduzido. “Ladeira escorregadia” é uma expressão idiomática em inglês, não devia ter sido traduzida ao pé-da-letra.
    * o trecho “e então deliberadamente deixarem abertos rombos para os criminosos também os deixarem” está ilógico. Acredito que o certo era “criminosos também entrarem”.

    No mais, é um post bem completo e com exposição sólida de fatos, sem depender muito de opiniões.

Deixe uma resposta

O seu endereço de e-mail não será publicado.

*