A empresa de segurança Kaspersky Lab recentemente identificou uma ameaça que tem como objetivo espionagem virtual de organizações públicas. De acordo com a empresa, a ferramenta provavelmente tem apoio de algum governo, mas não se sabe ainda detalhes sobre isso.
Apelidado de ProjectSauron, a plataforma é ainda mais preocupante por atuar de forma customizada: ela utiliza um conjunto exclusivo de ferramentas para cada vítima – nunca reutilizadas para outro ataque, o que torna quase inúteis os convencionais indicadores de compromisso (IoC). Essa abordagem, em conjunto com as diversas vias de extração dos dados roubados, usando DNS e canais de e-mail legítimos, possibilita campanhas de espionagem secretas de longo prazo nas redes-alvo.
O intuito da ameaça é acessar comunicações criptografadas ao utilizar plataforma modular de espionagem virtual avançada, incorporando diversas ferramentas e técnicas exclusivas para encontrá-las e acessá-las.
Aparentemente, o ProjectSauron é um tradicional e experiente agente que investiu muito no aprendizado com outros agentes extremamente avançados, como Duqu, Flame, Equation e Regin, adotando algumas das técnicas mais inovadoras, além de aprimorar suas táticas a fim de evitar sua detecção.
Foco principal
Até o momento, foram identificadas mais de 30 organizações atingidas pela ferramenta, a maioria localizada na Rússia, Irã e Ruanda – e é possível que tenham países de língua italiana entre as vítimas. De acordo com a Kaspersky, é provável que muitas outras organizações e regiões sejam afetadas, porém, devido à natureza das operações do ProjectSauron, é extremamente difícil identificar todos os novos alvos.
De acordo com análise, em geral, as organizações visadas têm papel fundamental na prestação de serviços para o Estado e incluem governos, agências militares, centros de pesquisa científica, operadoras de telecomunicações e organizações financeiras.
A perícia forense indica que o ProjectSauron está em operação desde junho de 2011 e continua sua atividade em 2016. Ainda não foi descoberto o vetor de infecção inicial usado pelo ProjectSauron para invadir as redes.
“Atualmente, muitos ataques direcionados recorrem a ferramentas de baixo custo facilmente disponíveis. O ProjectSauron, por outro lado, vale-se de ferramentas confiáveis, de fabricação caseira e de códigos com scripts personalizáveis”, explica Vitaly Kamluk, pesquisador-chefe de segurança da Kaspersky Lab.
Ele ressalta que o uso único de indicadores exclusivos, como servidor de controle, chaves de criptografia e outros, além da adoção de técnicas de ponta de outros agentes de ameaça importantes, é uma novidade. “A única forma de resistir a essas ameaças é a utilização de muitas camadas de segurança, baseadas em uma cadeia de sensores que monitoram até mesmo a menor anomalia no fluxo de trabalho da organização, multiplicadas pela inteligência de ameaças e a perícia para procurar padrões até mesmo quando eles parecem não existir.”
Custo, complexidade, persistência e objetivo final da operação podem ser definidos em: roubar informações confidenciais e secretas de organizações relacionadas a governos, que sugerem envolvimento ou apoio de uma nação-estado.
Os especialistas em segurança da Kaspersky Lab recomendam que organizações realizem auditoria meticulosa de suas redes e endpoints de TI, além de implementar as seguintes medidas.
1. Utilizar uma solução contra ataques direcionados junto com a proteção de endpoints já existente. A proteção de endpoints sozinha não é suficiente para lidar com a próxima geração de ameaças.
2. Pedir ajuda de especialistas, caso a tecnologia indique qualquer anomalia. As soluções de segurança mais avançadas conseguem identificar um ataque até mesmo enquanto ele acontece e, em muitos casos, profissionais de segurança são os únicos capazes de efetivamente bloquear, atenuar e analisar grandes ataques.
3. Complementar os itens acima com serviços de inteligência de ameaças: eles informam às equipes de segurança sobre as evoluções mais recentes no cenário de ameaças, as tendências dos ataques e os sinais que devem ser observados.
4. Finalmente, mas igualmente importante: como muitos dos principais ataques começam com spear-phishing ou outra forma de acesso aos funcionários, é essencial que sua equipe conheça e tenha comportamento responsável ao utilizar a web no ambiente corporativo.
