Tecnologia

Sandworm: Brecha no Windows permitiu ataques a OTAN e a órgãos de governos europeus

Equipe responsável pelos ataques estava baseada na Rússia e atuava desde 2009, segundo análise da iSight Partners

sandworm (Reprodução)

sandworm (Reprodução)

DR

Da Redação

Publicado em 15 de outubro de 2014 às 14h21.

Especialistas da iSight Partners divulgaram nesta última terça-feira a descoberta de uma campanha de ciberespionagem responsável por invadir e coletar dados da Organização do Tratado do Atlântico Norte (OTAN) e de governos europeus. A equipe responsável pelos ataques foi apelidada de Sandworm Team e, aparentemente, estava baseada na Rússia e atuava desde 2009.

As invasões e os ataques realizados pelos cibercriminosos se aproveitavam de uma brecha presente em todas as versões do Windows a partir do Vista, incluindo o Server. O XP, que perdeu o suporte neste ano, ironicamente não era afetado. A vulnerabilidade foi corrigida pela Microsoft também nesta última terça-feira, após análise realizada em conjunto com a empresa de segurança – que encontrou o problema ainda em agosto deste ano.

Os invasores conseguiam executar códigos remotamente utilizando ferramentas que exploravam a falha, que por vezes era até “combinada” com brechas em outros programas para garantir acesso aos privilégios necessários.

No texto publicado no blog da iSight, o diretor da empresa Stephen Ward também cita o uso de versões do malware BlackEnergy pelos criminosos – uma relação que a ESET descobrira já em setembro, mas sem conseguir relacionar os ataques a indústrias ucranianas e polonesas à brecha revelada nesta semana.

A análise da iSight revelou que, além da OTAN, os alvos preferidos dos ciberespiões incluíam órgãos dos governos da Ucrânia e da Polônia, empresas de telecomunicações europeias, companhias polonesas do setor de energia, a organização dos governos do Leste Europeu e a acadêmica dos EUA. Ou seja, eram vítimas de grande porte – e os invasores tinham como objetivo principal obter e-mails e documentos sigilosos.

Os ataques listados pela empresa de segurança incluem um que atingiu a OTAN em dezembro do ano passado e outro que afetou visitantes da GlobSec em maio deste ano, ambos usando outras brechas além da relatada no novo caso. Já em junho, quando o alvo foi uma empresa de telecomunicações francesa, os hackers apelaram para uma variação do BlackEnergy.

Curiosamente, apesar do potencial para causar estragos enormes, a brecha depende diretamente de táticas de phishing e engenharia social. Para conseguir invadir os computadores, os criminosos precisavam que uma vítima abrisse um arquivo enviado por e-mail – no caso, um documento do Office que sofreu algumas modificações, como descrito aqui.

Mas afinal, de onde veio o nome? – Apesar de ser chamada de Sandworm, a ameaça não é exatamente um worm. O nome tem relação com o livro “Duna”, escrito por Frank Herbert e lançado em 1965. Parte da história se passa no planeta de Arrakis, coberto por um deserto e habitado pelos Fremen, um povo de guerreiros capaz de montar nas gigantescas minhocas da areia – ou Sandworms, no nome original. E segundo o texto no blog da iSight, há várias referências à obra nas URLs de comando e controle e no código de alguns malware envolvidos na campanha.

Acompanhe tudo sobre:EmpresasEmpresas americanasempresas-de-tecnologiaINFOMicrosoftTecnologia da informaçãoWindows

Mais de Tecnologia

Google cortou 10% dos cargos executivos ao longo dos anos, diz site

Xerox compra fabricante de impressoras Lexmark por US$ 1,5 bilhão

Telegram agora é lucrativo, diz CEO Pavel Durov

O futuro dos jogos: Geração Z domina esportes eletrônicos com smartphones e prêmios milionários