Um grupo de hackers, provavelmente apoiado por um governo nacional desconhecido, atacou v\u00e1rias ag\u00eancias governamentais, embaixadas, representa\u00e7\u00f5es diplom\u00e1ticas e empresas de energia. Segundo pesquisadores da Kaspersky lab, h\u00e1 mais de cinco anos segue ativa a mais sofisticada, persistente e avan\u00e7ada \u00a0campanha APT.<\/p>\n
\n
Revelada ontem durante a confer\u00eancia corporativa Security Analist Summit, na Rep\u00fablica Dominicana, a amea\u00e7a \u00e9 chamada de “Careta”.<\/p>\n
Esta campanha \u00e9 preocupante, pois demonstra muito claramente que os cibercriminosos est\u00e3o cada vez mais qualificados, est\u00e3o aprendendo e aprimorando o seu com\u00e9rcio e t\u00e9cnica para infectar e espionar objetivos espec\u00edficos desde o ano de 2007. Segundo Costin Raiu, diretor da equipe Global Research na Analysis Team (GReAT) da Kaspersky Lab, se os cibercriminosos n\u00e3o tivessem tentando explorar uma vulnerabilidade corrigida em uma vers\u00e3o mais antiga de um produto da Kaspersky os pesquisadores nunca poderia t\u00ea-lo encontrado.<\/p>\n
“Explorar produtos da Kaspersky \u00e9 um plano muito imprudente”, disse Raiu em sua apresenta\u00e7\u00e3o.<\/p>\n
No entanto, as campanhas APT altamente sofisticadas como esta s\u00e3o geralmente projetadas para infectar as m\u00e1quinas de indiv\u00edduos com acesso muito espec\u00edfico, neste caso, principalmente os de ag\u00eancias governamentais e empresas de energia. Em outras palavras, os cibercriminosos n\u00e3o est\u00e3o interessados \u200b\u200bnos usu\u00e1rios normais. No entanto, n\u00e3o devemos estar pouco preocupados, porque os respons\u00e1veis pela campanha desligaram seus ataques poucas horas depois que a equipe da GReAT da Kaspersky Lab publicou uma descri\u00e7\u00e3o da campanha APT.<\/p>\n
Os pesquisadores da Kaspersky detectaram quitaram mediante um processo chamado “Sinkholing” 90 dom\u00ednios C&C utilizados pelos cibercriminosos; Raiu garantiu que, despois da publica\u00e7\u00e3o da informa\u00e7\u00e3o sobre esta APT os criadores da M\u00e1scara desligaram tudo em 4 horas. O “Sinkholing” \u00e9 um processo atrav\u00e9s do qual o pesquisador pode tomar o controle da botnet ou da infra-estrutura de comunica\u00e7\u00e3o de malwares e redirecionar o tr\u00e1fego longe dos servidores maliciosos que controlam a campanha.<\/p>\n
No entanto, Raiu disse que os cibercriminosos poderiam ressuscitar a opera\u00e7\u00e3o e voltar muito rapidamente, sem muita dificuldade, se quisessem.<\/p>\n
A campanha tamb\u00e9m \u00e9 not\u00e1vel por v\u00e1rias raz\u00f5es. Por um lado, ela n\u00e3o parece ter qualquer conex\u00e3o com a China, que \u00e9 o lugar onde muitos desses tipos de ataques s\u00e3o acusados \u200b\u200bde ter se originado. Tamb\u00e9m \u00e9 interessante porque as pessoas que dirigiram a campanha parece que s\u00e3o \u00a0falantes de espanhol, o que \u00e9 novo, mas n\u00e3o chega a ser surpreendente ou revelador , uma vez que a l\u00edngua \u00e9 a segunda mais falada no mundo, depois do mandarim, com quase 400 milh\u00f5es de pessoas. Al\u00e9m disso, a maioria dos objetivos da campanha tamb\u00e9m \u00e9 de l\u00edngua espanhola, embora tenha sido localizada em mais de 30 pa\u00edses.<\/p>\n
Al\u00e9m disso, o grupo diz ter tido em seu arsenal \u00a0um malqare para ataque de zero-day e vers\u00f5es do malware M\u00e1scara capazes de infectar m\u00e1quinas que executam o Mac OS X, Linux e, talvez, at\u00e9 mesmo dispositivos m\u00f3veis que suportam iOS e Android . Rau afirmou que ao menos uma v\u00edtima em Marrocos tinha um dispositivo capaz de se comunicarcom a infraestrutura de C&C atrav\u00e9s de uma rede m\u00f3vel 3G.<\/p>\n
“Os que est\u00e3o por tr\u00e1s desta campanha s\u00e3o melhores que o grupo respons\u00e1vel pela “Chama” porque sabem gerir melhor suas infraestruturas”, disse Raiu. “A velocidade de a\u00e7\u00e3o e o profissionalismo alcan\u00e7am um n\u00edvel que nunca vimos at\u00e9 agora”.<\/p>\n
Como ponto de refer\u00eancia, “Chama” \u00e9 outra campanha APT descoberta por pesquisadores da Kaspersky em 2012. Ela atacou pa\u00edses do Oriente M\u00e9dio e foi muito sofisticada porque gerava certificados digitais fraudulentos que parecem vir diretamente da Microsoft.<\/p>\n
Como ocorreram casos similares, os cibercriminosos da “M\u00e1scara” atacaram suas v\u00edtimas atrav\u00e9s de e-mail de phishing, que levavam a sites maliciosos onde os exploits s\u00e3o hospedados. A \u00fanica maneira para acessar estas p\u00e1ginas era atrav\u00e9s dos links enviados \u00e0s v\u00edtimas.<\/p>\n
Segundo Raiu, os cibercriminosos tinham muitas ferramentas \u00e0 sua disposi\u00e7\u00e3o, incluindo os implantes que permitiram entrar nas m\u00e1quinas das v\u00edtimas, interceptar todos os protocoles TCP e UDP em tempo real (s\u00e3o dois diferentes protocolos de comunica\u00e7\u00e3o atrav\u00e9s do qual viajam pela Internet) e permanecem invis\u00edvel na m\u00e1quina comprometida. Raiu disse que todas as comunica\u00e7\u00f5es entre as v\u00edtimas e os servidores C&C foram criptografados.<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
Tradu\u00e7\u00e3o:\u00a0Berenice Taboada D\u00edaz<\/p>\n","protected":false},"excerpt":{"rendered":"
Um grupo de hackers, provavelmente apoiado por um governo nacional desconhecido, atacou v\u00e1rias ag\u00eancias governamentais, embaixadas, representa\u00e7\u00f5es diplom\u00e1ticas e empresas de energia. Segundo pesquisadores da Kaspersky lab, h\u00e1 mais de<\/p>\n","protected":false},"author":42,"featured_media":2209,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[137,145,146,147],"class_list":{"0":"post-2208","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-berenice-taboada-diaz","10":"tag-campanha-apt","11":"tag-careta","12":"tag-the-mask"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/careta-a-campanha-de-apt-mais-sofisticada-do-mundo\/2208\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/berenice-taboada-diaz\/","name":"Berenice Taboada D\u00edaz"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2208"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2208\/revisions"}],"predecessor-version":[{"id":13633,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2208\/revisions\/13633"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/2209"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}