Ataques de ciberespionagem patrocinados por governos estão-se tornando mais sofisticados e direcionados a usuários cuidadosamente definidos, com ferramentas complexas e modulares. Especialistas da Kapersky Lab, provedora de soluções de proteção em TI, descobriram que eles se têm mantido sigilosos sob o radar de eficazes sistemas de detecção.
A nova tendência foi confirmada por uma análise detalhada da plataforma de espionagem EquationDrug. Segundo especialistas da Kaspersky Lab, devido ao sucesso crescente da indústria em expor grupos avançados de ameaças persistentes (APT), os agentes de ameaças mais sofisticados agora se concentram em aumentar o número de componentes em suas plataformas maliciosas, com o intuito de reduzir a sua visibilidade e aumentar a discrição.
As últimas plataformas têm muitos módulos de plugin, o que lhes permite selecionar e executar uma ampla gama de funções diferentes, dependendo da vítima e informações em sua posse. O Kaspersky Lab estima que o EquationDrug tem 116 plugins diferentes.
Foco na criação de frameworks
Os responsáveis pelos ataques estão à procura de maior estabilidade, invisibilidade, confiabilidade e universalidade em suas ferramentas de ciberespionagem. Eles estão focados na criação de frameworks para embalar tais códigos para que possam ser personalizados em sistemas vivos e fornecer uma maneira confiável de armazenar todos os componentes e dados de forma criptografada, inacessível para os usuários comuns , explica Costin Raiu, diretor do GReAT, time global de Análise e Pesquisa da Kaspersky Lab.
O executivo acrescenta que a sofisticação do framework faz com que esse tipo de agente seja diferente de cibercriminosos tradicionais, que preferem se concentrar na capacidade de carga e de malware projetados para ganhos financeiros.
Outras formas em que os responsáveis por esses ataques patrocinados por governos diferenciam suas táticas de cibercriminosos tradicionais são:
Escala: cibercriminosos tradicionais distribuem e-mails em massa com anexos maliciosos ou infectam sites em larga escala, enquanto agentes de governos preferem direcionar cuidadosamente seus ataques, infectando apenas alguns usuários selecionados a dedo.
Abordagem individual: enquanto os cibercriminosos tradicionais tipicamente reutilizam códigos-fonte, tais como o do infame Zeus ou Trojans Carberb, os agentes de governos constroem malware original, personalizado, e até mesmo implementam restrições que impedem a descriptografia e execução fora do computador de destino.
Extração de informações valiosas: os cibercriminosos em geral tentam infectar o maior número possível de usuários. No entanto, eles não têm tempo e espaço de armazenamento para verificar manualmente todas as máquinas que infectam e analisar quem os possui, quais dados estão armazenados neles e qual software utilizam para, em seguida, transferir e armazenar todos os dados potencialmente interessantes.
Como resultado, eles codificam todo malware em um só, que irá extrair apenas os dados mais valiosos, tais como senhas e números de cartão de crédito das máquinas das vítimas atividade que poderia rapidamente despertar a atenção de qualquer software de segurança instalado.
Os atacantes patrocinados por governos, por outro lado, têm recursos para armazenar tantos dados quanto quiserem. Para desviarem da atenção e permanecerem invisíveis ao software de segurança, eles tentam evitar infectar usuários aleatórios, preferindo recorrer a uma ferramenta de gerenciamento de sistema remoto genérico que pode copiar qualquer informação importante e em quaisquer volumes. Isso poderia, no entanto, trabalhar contra eles, como movendo um grande volume de dados pode desacelerar a conexão de rede e levantar suspeitas.