Empresa descobre malware perigoso que espiona computadores desde 2008

Por Redação | 24 de Novembro de 2014 às 16h49

Pesquisadores de segurança da Symantec, empresa especialista em segurança de computadores e redes, descobriram um sofisticado malware que parece espionar serviços de internet e companhias de telecomunicações. Os engenheiros da entidade acreditam que a ameaça foi criada por uma agência governamental e, embora sua origem não seja clara, países como China, Israel e Estados Unidos podem estar envolvidos no desenvolvimento da praga digital.

O relatório envolvendo o malware vem da mesma equipe da Symantec que há quatro anos ajudou a descobrir e desmascarar as capacidades do Stuxnet, a primeira arma digital do mundo. Acredita-se que ela foi criada em esforços conjuntos dos EUA e de Israel para sabotar o programa de pesquisa nucelar iraniano.

O novo vírus foi apelidado de "Regin". De acordo com uma postagem no blog da Symantec, a praga está sendo descrita como uma "peça complexa de malware cuja a estrutura apresenta grau de competência técnica raramente vista". O Regin é uma ferramenta "que fornece aos seus usuários uma extensa gama de capacidades, tornando-se uma poderosa estrutura para vigilância em massa".

Os pesquisadores afirmaram que o Regin foi utilizado em uma operação de espionagem com início em 2008 e que ainda está em curso. Os responsáveis teriam parado de utilizá-lo em 2011 e retomado o controle do malware em 2013. Cerca de 100 infecções do Regin foram detectadas, sendo que a maior parte delas (52%) está na Rússia e Arábia Saudita. O restante ocorreu no México, Irlanda, Afeganistão, Irã, Bélgica, Áustria e Paquistão. Nenhuma infecção da praga foi identificada nos EUA ou na China.

A Symantec foi a primeira instituição especializada em segurança a se familiarizar com o Regin, que chegou ao seu conhecimento por meio de clientes que enviaram parte do código para análise. "Percebemos que havia mais do que o que foi enviado e por isso voltamos a investigar mais profundamente", diz Liam O'Murchu, um dos pesquisadores da empresa.

Segundo o especialista, a qualidade de concepção do Regin e os investimentos para criá-lo deixam claro que ele foi feito por uma instituição governamental. No entanto, O'Murchu não hesitou em falar sobre o país responsável pela elaboração do malware. "As melhores pistas que temos são onde as infecções ocorreram e onde elas não estão presentes", disse em uma entrevista ao Re/Code. "Sabemos que o responsável é um governo tecnicamente avançado. Esta é uma enorme campanha de espionagem que está ativa desde 2008 e talvez desde 2006", afirma.

Não é preciso ir muito longe para duvidar do envolvimento da Agência Nacional dos Estados Unidos na elaboração do Regin. O país é certamente um dos mais desenvolvidos no setor tecnológico e na produção de códigos para armas digitais. No entanto, nações como a China não podem ser descartadas como criadoras do malware.

Há ainda muito para descobrir sobre o Regin. Segundo O'Murchu, há partes dele que ainda não foram encontradas ou examinadas. Até o momento, o que se sabe sobre a praga é que ela ataca computadores que executam o sistema operacional Microsoft Windows, e seu procedimento de contaminação consiste em cinco etapas a em etapas. Apenas na primeira fase é possível detectá-lo, visto que o vírus abre portas para as fases subsequentes. Ele é semelhante ao Stuxnet e o Duqu, que foi criado para reunir informações sobre um alvo roubando grande quantidade de dados.

Uma vez que o computador é comprometido, os controladores do Regin podem carregá-lo com o que quiserem, em especial algo relacionado a realizar uma operação de espionagem. A Symantec disse que "algumas dessas cargas personalizadas são bastante avançadas e apresentam um alto grau de especialização". A espionagem de sistemas de companhias aéreas e de empresas do setor de energia mostram o "nível de recursos disponíveis para os criadores do Regin".

Uma das cargas citadas é a ferramenta de acesso remoto, ou RAT, que dá ao invasor a capacidade de assumir o controle de um PC remotamente, copiando arquivos do disco rígido, desligar e ligar webcam e microfones, roubar senhas, entre outras possibilidades. Algumas das cargas mais avançadas presentes em máquinas infectadas pelo Regin incluem software de monitoramento de tráfego de rede e gerenciamento de estações de base de telefonia móvel.

Quase metade de todas as infecções do Regin ocorreram em provedores de serviços de internet. Entre as empresas afetadas estão fornecedores de telecomunicações, empresas de hotelaria, energia, companhias aéreas e organizações de pesquisa.

A maneira com que o malware se propaga ainda é um mistério. Em apenas um caso a infecção foi realizada por meio do Yahoo Instant Messenger. Em outras situações, a Symantec acredita que as vítimas foram aliciadas para visitar versões falsificadas de sites conhecidos. "Ainda não temos informações suficientes sobre como ele foi distribuído para as máquinas infectadas", disse O'Murchu.

Um esforço excepcional foi feito pelos criadores do Regin para que ele não seja detectado. "Mesmo quando a sua presença é detectada, é muito difícil saber o que está fazendo", afirmou a Symantec. Vários dos componentes do Regin ainda são desconhecidos. É esperado que, com a publicação dos resultados da Symantec, mais informações de outros pesquisadores possam aparecer.

Fonte: http://recode.net/2014/11/23/symantec-uncovers-sophisticated-stealthy-computer-spying-tool/

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.