Tecnologia

Sandworm: Brecha no Windows permitiu ataques a OTAN e a órgãos de governos europeus

Equipe responsável pelos ataques estava baseada na Rússia e atuava desde 2009, segundo análise da iSight Partners

sandworm (Reprodução)

sandworm (Reprodução)

DR

Da Redação

Publicado em 15 de outubro de 2014 às 14h21.

Especialistas da iSight Partners divulgaram nesta última terça-feira a descoberta de uma campanha de ciberespionagem responsável por invadir e coletar dados da Organização do Tratado do Atlântico Norte (OTAN) e de governos europeus. A equipe responsável pelos ataques foi apelidada de Sandworm Team e, aparentemente, estava baseada na Rússia e atuava desde 2009.

As invasões e os ataques realizados pelos cibercriminosos se aproveitavam de uma brecha presente em todas as versões do Windows a partir do Vista, incluindo o Server. O XP, que perdeu o suporte neste ano, ironicamente não era afetado. A vulnerabilidade foi corrigida pela Microsoft também nesta última terça-feira, após análise realizada em conjunto com a empresa de segurança – que encontrou o problema ainda em agosto deste ano.

Os invasores conseguiam executar códigos remotamente utilizando ferramentas que exploravam a falha, que por vezes era até “combinada” com brechas em outros programas para garantir acesso aos privilégios necessários.

No texto publicado no blog da iSight, o diretor da empresa Stephen Ward também cita o uso de versões do malware BlackEnergy pelos criminosos – uma relação que a ESET descobrira já em setembro, mas sem conseguir relacionar os ataques a indústrias ucranianas e polonesas à brecha revelada nesta semana.

A análise da iSight revelou que, além da OTAN, os alvos preferidos dos ciberespiões incluíam órgãos dos governos da Ucrânia e da Polônia, empresas de telecomunicações europeias, companhias polonesas do setor de energia, a organização dos governos do Leste Europeu e a acadêmica dos EUA. Ou seja, eram vítimas de grande porte – e os invasores tinham como objetivo principal obter e-mails e documentos sigilosos.

Os ataques listados pela empresa de segurança incluem um que atingiu a OTAN em dezembro do ano passado e outro que afetou visitantes da GlobSec em maio deste ano, ambos usando outras brechas além da relatada no novo caso. Já em junho, quando o alvo foi uma empresa de telecomunicações francesa, os hackers apelaram para uma variação do BlackEnergy.

Curiosamente, apesar do potencial para causar estragos enormes, a brecha depende diretamente de táticas de phishing e engenharia social. Para conseguir invadir os computadores, os criminosos precisavam que uma vítima abrisse um arquivo enviado por e-mail – no caso, um documento do Office que sofreu algumas modificações, como descrito aqui.

Mas afinal, de onde veio o nome? – Apesar de ser chamada de Sandworm, a ameaça não é exatamente um worm. O nome tem relação com o livro “Duna”, escrito por Frank Herbert e lançado em 1965. Parte da história se passa no planeta de Arrakis, coberto por um deserto e habitado pelos Fremen, um povo de guerreiros capaz de montar nas gigantescas minhocas da areia – ou Sandworms, no nome original. E segundo o texto no blog da iSight, há várias referências à obra nas URLs de comando e controle e no código de alguns malware envolvidos na campanha.

Acompanhe tudo sobre:EmpresasEmpresas americanasempresas-de-tecnologiaINFOMicrosoftTecnologia da informaçãoWindows

Mais de Tecnologia

Influencers mirins: crianças vendem cursos em ambiente de pouca vigilância nas redes sociais

10 frases de Steve Jobs para inspirar sua carreira e negócios

Adeus, iPhone de botão? WhatsApp vai parar de funcionar em alguns smartphones; veja lista

Galaxy S23 FE: quanto vale a pena na Black Friday?