O Japão estaria sendo vítima de três ataques dirigidos: um deles teria infectado computadores da câmara dos deputados do país; outro teria infectado computadores em embaixadas ao redor do mundo e o terceiro, divulgado em setembro, teria comprometido a fabricante de armas Mitsubishi Heavy Industries para, segundo informações recentes, roubar dados sigilosos sobre projetos de armas e reatores nucleares.
Mas os ataques aos japoneses não são os únicos que estão ocorrendo de forma dirigida. Pesquisadores de antivírus estão ocupados analisando o vírus Duqu, uma praga digital que foi considerada semelhante ao Stuxnet, o código malicioso responsável por interferir com o programa nuclear iraniano em 2010.
Embora aparentemente não relacionados, esses ataques estão na mesma classe. Os ataques direcionados ou ataques dirigidos são realizados por hackers que buscam infectar ou invadir um sistema específico, diferente da maioria dos ataques que ocorre na internet, em que os criminosos não estão preocupados com cada vítima individual. Os ataques dirigidos usam estratégias próprias e criativas, sendo mais difíceis de evitar.
Ataques ao JapãoA invasão à empresa Mitsubishi Heavy Industries (MHI) ocorreu em agosto e foi divulgada em setembro. A empresa afirmou na ocasião que apenas algumas poucas informações sobre seus sistemas teriam sido vazadas.
A MHI é a principal fabricante de armas para o exército japonês e também desenvolve componentes para reatores nucleares, além de ter uma parceria com a Boeing para a construção dos aviões 787 Dreamliner.
Uma reportagem no jornal japonês Asahi Shimbun citando apenas fontes anônimas afirma que informações sobre reatores nucleares e equipamentos do exército, como caças, teriam sido roubados dos computadores infectados. As fontes citadas pelo jornal teriam conhecimento dos resultados de uma investigação interna que a companhia realizou nos 83 sistemas em que códigos maliciosos foram detectados.
Outro ataque revelado recentemente teria infectado computadores da câmara dos deputados do Japão nos meses de julho e agosto. Deputados estariam evitando usar computadores e servidores do governo, preferindo usar seus computadores pessoais para evitar o roubo de dados devido a um ataque nos sistemas da câmara.
Um terceiro ataque ao país asiático foi publicado pelo jornal Yomiuri. Segundo o jornal, computadores nas embaixadas japoneses no Canadá, na China, na Friança, na Holanda, na Coreia do Sul, nos Estados Unidos e em Burma teriam sido comprometidos. O governo japonês afirmou que nenhuma informação teria sido roubada pelos ataques.
‘Duqu’Originalmente encontrado em fabricantes de componentes industriais na Europa, o vírus “Duqu” estaria compartilhando muitas características com o Stuxnet, a praga que atacou usinas nucleares no Irã.
O Stuxnet é considerado um dos vírus mais sofisticados já criados por ter utilizado falhas de segurança antes desconhecidas e também um certificado digital roubado para conseguir operar com permissão total mesmo nas versões 64 bits do Windows, que impedem softwares não certificados de serem executados nesse nível.
Apesar de não ter a capacidade de interferir com centrífugas, como era o caso do Stuxnet, o Duqu também usa um certificado roubado e tem como aparente objetivo roubar informações sobre componentes e controladores industriais o mesmo tipo de equipamento que foi atacado pelo Stuxnet. Esse comportamento levou a Symantec a chama-lo de precursor para um novo Stuxnet.
No entanto, há polêmica sobre a real relação do vírus com o Stuxnet. Pesquisadores da Dell SecureWorks afirmam que as semelhanças entre o Duqu e o Stuxnet não são suficientes para concluir que existe uma relação entre os dois vírus. Segundo a fabricante russa de antivírus Kaspersky Lab, o Duqu, que teria sido encontrado na Europa, é na verdade mais comum Irã o mesmo país que é considerado o alvo do Stuxnet.
O analista de vírus Alex Gostev da Kaspersky Lab constatou em sua análise que o Duqu pode ser capaz de executar módulos para personalizar os ataques para cada empresa ou indivíduo que for atacado pela praga. Cada incidente com o Duqu é único, usando arquivos únicos e com nomes diferentes, afirmou o pesquisador.
Até o momento, ainda não se sabe exatamente como o Duqu chegou nas empresas em que ele foi encontrado.
Investigações em andamento
Descobrir quais informações podem ter sido vazadas por um ataque direcionado não é fácil e, normalmente, é preciso honestidade por parte das vítimas o que nem sempre vem ocorrendo. A empresa de segurança RSA, invadida em março, afirmou inicialmente que o ataque não teria consequências, até que um ataque na fabricante de armas Lockheed Martin mostrou que informações sigilosas foram roubadas. A empresa acabou substituindo os tokens SecurID de diversos clientes.
A Lockheed Martin, fabricante de caças atacada com base nas informações obtidas no ataque à RSA, também negou que sua rede tenha sido comprometida, afirmando que o ataque não teria chegado aos sistemas que contém dados sigilosos. Postura semelhante foi adotada pela japonesa Mitsubishi Heavy Industries, que agora está começando a ser desafiada.
Muitos ataques desse tipo jamais são explicados adequadamente. O ataque à RSA, que a empresa classificou como sofisticado, teria começado com um e-mail de duas frases, mas a empresa não confirmou a mensagem foi realmente essa.
Fontes anônimas consultas pelo jornalista Brian Krebs mostram que centenas de redes se comunicaram com servidores de controle do vírus que atacou a RSA e que um dos mais de 300 servidores de controle usados estava localizado no Brasil, enquanto 299 deles estavam na China.
Com as informações limitadas e fragmentadas que chegam sobre esse tipo de ataque, é difícil compreender como foram realizados e seu impacto. Enquanto isso, a atitude das empresas de imediatamente negar qualquer possibilidade de dano ou roubo de dados para depois isso ser mostrado falso só contribui para um clima de ainda maior incerteza e instabilidade.
Para alguns especialistas, grandes empresas já devem partir do pressuposto que foram alvo de um ataque dirigido e que suas redes podem, desde já, estarem comprometidas.*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna Segurança digital, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na páginahttps://twitter.com/g1seguranca.
Com informações de G1.
