Vídeo: ESTRATÉGIA MAIS FORTE ATUALMENTE PARA GUERRA CLASH OF CLANS (Outubro 2024)
A Kaspersky Lab divulgou o primeiro de um relatório de duas partes sobre "Outubro Vermelho", um ataque de malware que a empresa acredita estar infestando sistemas governamentais de alto nível em toda a Europa e poderia estar direcionado especificamente a documentos classificados. Segundo o relatório, os dados roubados são da ordem de "centenas de Terabytes" e ficaram em grande parte não detectados por cerca de cinco anos.
Outubro Vermelho, ou "Rocra", leva o nome do mês em que foi descoberto e o submarino russo silencioso titular imaginado pelo autor Tom Clancy. Você pode falar sobre o Outubro Vermelho e seus antecedentes na PC Mag.
Ataques Especificamente Direcionados
O relatório descreve o Outubro Vermelho como uma "estrutura", que pode ser rapidamente atualizada para aproveitar as fraquezas de suas vítimas. Os atacantes começaram seu ataque com e-mails spearphising ou documentos infectados feitos sob medida para atrair seus alvos. Uma vez infectados, os invasores coletavam informações sobre o sistema antes de instalar módulos específicos para aumentar a invasão. A Kaspersky contabilizou cerca de 1.000 arquivos únicos, divididos em cerca de 30 categorias de módulos.
Essa é uma abordagem muito diferente da Flame ou outro malware que chama a atenção. O relatório diz: "existe um alto grau de interação entre os agressores e a vítima - a operação é conduzida pelo tipo de configuração que a vítima possui, que tipo de documentos o uso, software instalado, idioma nativo etc."
"Comparado ao Flame e Gauss, que são campanhas de ciberespionagem altamente automatizadas, o Rocra é muito mais 'pessoal' e ajustado para as vítimas", escreve Kaspersky.
Os atacantes eram tão desonestos quanto metódicos, na verdade mudando táticas para empregar informações roubadas. "As informações coletadas das redes infectadas são reutilizadas em ataques posteriores", escreve Kaspersky. "Por exemplo, credenciais roubadas foram compiladas em uma lista e usadas quando os atacantes precisavam adivinhar senhas e credenciais de rede em outros locais".
Ficar fora do radar
Esse tipo de ataque direcionado não apenas permitiu que aqueles por trás do Outubro Vermelho perseguissem alvos de alto nível, mas também ajudou a operação a não ser detectada por anos. "A combinação de invasores altamente qualificados e bem financiados e uma distribuição limitada geralmente significa que o malware pode permanecer sob o radar por um período significativo de tempo", disse à SecurityWatch o pesquisador sênior da Kaspersky, Roel Schouwenberg. "Além disso, não vimos o uso de vulnerabilidades de dia zero, o que novamente mostra a importância da aplicação de patches".
Schouwenberg continuou dizendo que várias camadas de segurança podem ajudar a bloquear esses tipos de ataques. Ele disse ao SecurityWatch : "é por isso que a defesa em profundidade é importante e abordagens como negação padrão, lista de permissões e controle de aplicativos entram em ação. Os ataques podem ser interrompidos mesmo sem a detecção exata".
Não necessariamente o trabalho das nações
Apesar dos objetivos de alto nível, a Kaspersky enfatiza que não há vínculo definitivo com um ataque patrocinado pelo Estado. O relatório diz que, embora as informações visadas possam ser valiosas para os países, "essas informações podem ser negociadas no subsolo e vendidas para quem oferece mais, o que pode estar em qualquer lugar".
Ameaças personalizadas como o Outubro Vermelho são o tipo de pior cenário que mantém a segurança do Pentágono a noite toda. Felizmente, a especificidade que fez do Red October um sucesso também significa que é improvável que ameace consumidores comuns como você e eu.
Infelizmente, isso não muda o fato de um jogador novo e poderoso estar operando nos bastidores há anos.
Para mais informações de Max, siga-o no Twitter @wmaxeddy.
