Sandworm: Brecha no Windows permitiu ataques a OTAN e a órgãos de governos europeus

Especialistas da iSight Partners divulgaram nesta última terça-feira a descoberta de uma campanha de ciberespionagem responsável por invadir e coletar dados da Organização do Tratado do Atlântico Norte (OTAN) e de governos europeus. A equipe responsável pelos ataques foi apelidada de Sandworm Team e, aparentemente, estava baseada na Rússia e atuava desde 2009.

As invasões e os ataques realizados pelos cibercriminosos se aproveitavam de uma brecha presente em todas as versões do Windows a partir do Vista, incluindo o Server. O XP, que perdeu o suporte neste ano, ironicamente não era afetado. A vulnerabilidade foi corrigida pela Microsoft também nesta última terça-feira, após análise realizada em conjunto com a empresa de segurança – que encontrou o problema ainda em agosto deste ano.

Os invasores conseguiam executar códigos remotamente utilizando ferramentas que exploravam a falha, que por vezes era até “combinada” com brechas em outros programas para garantir acesso aos privilégios necessários.

No texto publicado no blog da iSight, o diretor da empresa Stephen Ward também cita o uso de versões do malware BlackEnergy pelos criminosos – uma relação que a ESET descobrira já em setembro, mas sem conseguir relacionar os ataques a indústrias ucranianas e polonesas à brecha revelada nesta semana.

A análise da iSight revelou que, além da OTAN, os alvos preferidos dos ciberespiões incluíam órgãos dos governos da Ucrânia e da Polônia, empresas de telecomunicações europeias, companhias polonesas do setor de energia, a organização dos governos do Leste Europeu e a acadêmica dos EUA. Ou seja, eram vítimas de grande porte – e os invasores tinham como objetivo principal obter e-mails e documentos sigilosos.

Os ataques listados pela empresa de segurança incluem um que atingiu a OTAN em dezembro do ano passado e outro que afetou visitantes da GlobSec em maio deste ano, ambos usando outras brechas além da relatada no novo caso. Já em junho, quando o alvo foi uma empresa de telecomunicações francesa, os hackers apelaram para uma variação do BlackEnergy.

Curiosamente, apesar do potencial para causar estragos enormes, a brecha depende diretamente de táticas de phishing e engenharia social. Para conseguir invadir os computadores, os criminosos precisavam que uma vítima abrisse um arquivo enviado por e-mail – no caso, um documento do Office que sofreu algumas modificações, como descrito aqui.

Mas afinal, de onde veio o nome? – Apesar de ser chamada de Sandworm, a ameaça não é exatamente um worm. O nome tem relação com o livro “Duna”, escrito por Frank Herbert e lançado em 1965. Parte da história se passa no planeta de Arrakis, coberto por um deserto e habitado pelos Fremen, um povo de guerreiros capaz de montar nas gigantescas minhocas da areia – ou Sandworms, no nome original. E segundo o texto no blog da iSight, há várias referências à obra nas URLs de comando e controle e no código de alguns malware envolvidos na campanha.