A Symantec revelou nesta segunda-feira (24/11) a descoberta de um sofisticado malware capaz de espionar qualquer tipo de atividade realizada na internet. A ferramenta, que circula mundialmente, aparentemente é utilizada para espionar companhias de internet, telecomunicações, empresas aéreas e ligadas ao setor energético.
A pesquisa que detectou a ameaça foi realizada pela mesma equipe de segurança computacional que, há quatro anos, descobriu e relevou as funções da primeira arma digital mundial, a Stuxnet. Segundo a Symantec, que nomeou o malware de “Regin”, as primeiras peças do malware começaram a ser detectadas após clientes enviarem partes delas para análises. “Descobrimos que existiam mais coisas além das que estavam sendo enviadas para nós, então resolvemos nos aprofundar nas investigações”, afirma um dos pesquisadores da companhia, Liam O´Murchu.
De acordo com o pesquisador, a qualidade de design e o investimento necessário para criar uma ferramenta parecida com o Regin indica que a ferramenta, muito provavelmente, foi criada por uma nação-estado avançada tecnologicamente. “As peças que avaliamos apresentam um nível de competência técnica raramente visto. Essa ferramenta possui um amplo leque de capacidades, que permitem à pessoa que infectou o computador controlá-la por meio de um poderoso framework para vigilância em massa.”
Segundo a Symantec, as infecções atingiram organizações governamentais, companhias privadas e institutos de pesquisa. Cerca de cem casos foram detectados sendo a maior parte – em torno de 52% – na Rússia e na Arábia Saudita. As outras ocorrências aconteceram no México, Irlanda, Índia, Afeganistão, Irã, Bélgica, Áustria e Paquistão. Até a divulgação do estudo, nenhuma infecção foi detectada nos Estados Unidos ou na China, o que aumenta a suspeita do malware ter sido criado em algum desses países. O Brasil, por enquanto, não aparece na lista. “As melhores pistas que temos até o momento vieram ao analisar os lugares onde as infecções ocorreram e onde não ocorreram”, detalha O´Murchu.
O estudo ainda que o Regin aparenta ser utilizado em uma operação de espionagem, de forma contínua, desde 2008. Os pesquisadores suspeitam que ele tenha sido criado a partir de esforços conjuntos dos Estados Unidos e Israel para sabotar o programa de pesquisas nucleares iraniano.
O pesquisador afirmou que esforços excepcionais foram feitos pelos criadores para prevenir o Regin e as comunicações entre o malware e o controlador de serem detectadas. “Mesmo quando sua presença é detectada, é muito difícil determinar o que ele está fazendo.” O´Murchu conta que diversas peças do Regin ainda estão em circulação e sequer foram descobertas. O pesquisador espera que, com a divulgação do estudo, mais informações obtidas por outros pesquisadores sejam reveladas.
Apesar de muitas funções e peças do malware ainda não terem sido descobertas, alguns detalhes da ferramenta já foram mapeados pela companhia. Confira abaixo as principais ameaças:
• O Regin ataca sistemas baseados em Windows. Ele ataca em estágios e requer cinco peças, sendo que apenas o primeiro estágio é detectável, quando é aberta a porta para os estágios subsequentes, os quais decriptam e executam o estágio seguinte. Desta forma, ele é similar ao Stuxnet e praticamente igual ao Trojan Duqu, que foi projetado para capturar inteligência de um alvo por meio do roubo de grandes quantidades de dados.
• Quase metade das infecções ocorreu em provedores de serviços de internet, tendo os clientes dessas companhias como alvo. Provedores de telecomunicações, companhias aéreas, hospitalares e energéticas também foram afetadas.
• A forma de propagação do malware ainda é um mistério. Em um dos casos, apesar de ter sido o único, a infecção ocorreu pelo Yahoo Instant Messenger, sistema de troca de mensagens da companhia. A Symantec acredita que as vítimas foram enganadas e induzidas a acessar versões contaminadas de sites já conhecidos. “Além do exemplo citado acima, não temos outras informações sobre como ele é distribuído”, explica O´Murchu.
• Uma vez que o computador for infectado, o controlador do Regin pode descarregar qualquer ferramenta que seja necessária para realizar a operação de espionagem. Segundo a Symantec, “algumas ferramentas customizadas são muito avançadas e exibem alto grau de expertise de especialistas do setor”, especialmente em casos de ferramentas geradas para espionar companhias aéreas ou de energia. Essa é a “mais evidente prova do nível de recursos disponíveis que os autores do Regin possuem”.
• Existem dezenas dessas ferramentas. Uma encontrada em diversos casos é a ferramenta de acesso remoto (RAT, na sigla em inglês) que fornece ao invasor a possibilidade de tomar controle do computador de forma remota, copiar arquivos do HD, ligar a webcam ou o microfone. O RAT também é muito útil para capturar palavras-chave, uma excelente forma de roubar senhas. Algumas ferramentas mais avançadas encontradas em máquinas comprometidas pelo Regin incluem softwares para monitorar o tráfego na internet e uma ferramenta para gerenciar estações base de telefones móveis.
