Baile de Máscaras
Pesquisadores de segurança da Kaspersky anunciaram a descoberta de uma ameaça de espionagem cibernética que eles dizem ser a mais avançada do mundo. Imensamente poderosa e difícil de ser detectada, ela está ativa desde 2007, ao menos, com alvo em governos, embaixadas e empresas de energia. E ninguém sabe de onde veio.
Chamada “Careto”, personagem mascarado do carnaval de Portugal e uma palavra que aparece em parte dos códigos, o vírus se aproveita de emails de phishing com links maliciosos disfarçados de subdomínios de sites conhecidos como The Washington Post ou The Guardian. Após a infecção, os links maliciosos redirecionam para sites legítimos referenciados no email para cobrir seus rastros.
Assim que baixado, o Careto coletava uma enorme quantidade de documentos do sistema infectado, com foco principalmente em dados confidenciais ou especializados: chaves de criptografia, configurações VPN, chaves SSH e mais. E não para por aí: segundo a Kaspersky, “diversas extensões desconhecidas eram monitoradas [pelo malware] e não conseguimos identificar. Podem ser relacionadas a ferramentas personalizadas de criptografia em nivel militar ou governamental.” Do ponto de vista de segurança, a infecção é desastrosa: o Careto consegue acessar o tráfego de rede e guardar teclas digitadas e conversas no Skype, entre muitas outras coisas.
A complexidade do Careto e o alto nível de refinamento indicam que ele não foi criado em um porão hacker. É uma das ameaças mais avançadas já detectadas pela Kaspersky, superando até o enigmático Duqu Trojan. O Careto se esconde em versões antigas de softwares de segurança da Kaspersky, tornando-se invisível em varreduras de rotina, e é capaz de atingir Windows, Linux, Mac e possivelmente Android e iOS. O malware é altamente refinado, e gerenciado em um nível de segurança que a Kaspersky diz “não ser normal para grupos de cibercriminosos”, o que faz com que eles acreditem que seja um ataque financiado por algum estado.
O alcance total do Careto não é conhecido, mas a Kaspersky identificou vítimas em mais de 1000 endereços de IP e 31 países, principalmente instituições governamentais, escritórios diplomáticos e empresas privadas poderosas, especialmente indústrias de gás e petróleo.
Então qual grupo financiado por algum estado está por trás dele? Ninguém sabe. A Kaspersky acredita que a presença de palavras espanholas no programa não ajudam a determinar uma região geográfica – pode ser apenas uma distração.
No momento ele está inativo (os hackers começaram a desligar os servidores do Careto em janeiro, quando a Kaspersky começou a investigação), mas nada impede que os responsáveis pelo ataque reativem o malware a qualquer momento. Ele se aproveita de vulnerabilidades de software já corrigidas há cinco anos pela Kaspersky, mas, como atingiu mais de 380 vítimas de alto nível em 31 países, o Careto ainda é uma ameaça real. Sem contar que os responsáveis por ele sabem muito bem o que estão fazendo.
Uma coisa está clara: com um design e alvos de alto nível, o Careto é muito mais do que um ataque médio a cartões de crédito. E seu período de hibernação pode não durar para sempre.