Operação Outubro Vermelho promove ciberespionagem

Todas as vitimas envolvidas no ataque do “Outubro Vermelho” no Brasil não foram infectadas por acaso. O Brasil registrou pelo menos três ataques bem direcionados contra instituições diplomáticas e científicas.

A cibercriminalidade atinge não só particulares, como também entidades públicas. Num relatório recentemente publicado, a KasperskyLab identifica uma nova campanha de ciberespionagem dirigida a organizações diplomáticas e centros de investigação científica e governamentais em vários países: a denominada OperaçãoOutubroVermelho.

Esta rede opera há pelo menos cinco anos em países da Europa de Leste, ex-repúblicas da antiga URSS e países da Ásia Central, embora entre as vítimas se contem também organismos da Europa Ocidental e da América do Norte, segundo explica a Kaspersky.

O principal objectivo dos seus criadores passava por obter documentação sensível das organizações comprometidas, «que incluísse dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis pessoais e equipamentos de rede».

Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investigação à raiz de uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, também chamada Rocra, sigla em inglês, ainda continua activa.

Para o controlo da rede de equipamentos infectados, os cibercriminosos criaram mais de 60 nomes de domínio e localizaram-nos em vários servidores de hosting em diferentes países, sendo a maioria na Alemanha e na Rússia. A análise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxypara ocultar a localização do servidor de controlo principal.

De acordo com a Kaspersky, a informação roubada nos sistemas atacados inclui documentos com diferentes extensões, entre elas, a “acid”, que aparece para se referir ao software classificado como “Acid Cryptofiler”, e que «foi utilizado anteriormente por várias entidades, desde a União Europeia à NATO», refere ainda a Kaspersky.

Os cibercriminosos atacavam os equipamentos das vítimas através de uma campanha dephishing que incluía um trojan personalizado. O trojan instalava o malware e infectava o sistema de e-mail malicioso, incluindo exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e do Microsoft Excel.

Pelo registo de dados deixado nos servidores C2 e pelos numerosos artefactos encontrados nos executáveis do malware, «existe uma importante evidência técnica que indica que os atacantes têm origens relacionados com o idioma russo». Por outro lado, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram identificados pelos analistas da Kaspersky Lab em análises a ataques de ciberespionagem prévios.

Sintonia Fina