• Nenhum resultado encontrado

COMUNICADO DE IMPRENSA

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "COMUNICADO DE IMPRENSA"

Copied!
6
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 6 páginas )

Texto

(1)

COMUNICADO DE IMPRENSA

Kaspersky Lab identifica operação Outubro Vermelho: uma

nova campanha de ciber-espionagem avançada e de grandes

dimensões, dirigida a organismos diplomáticos e governos de

todo o mundo

• Registaram-se mais de 55.000 ligações feitas a partir de 250 endereços IP infectados em 39 países. A maioria das ligações procedia da Suíça, seguida do Cazaquistão e da Grécia.

• Os atacantes criaram um malware único capaz de roubar informação de sistemas informáticos de organizações, equipamentos de rede empresariais e telefones móveis

• Os principais alvos desta campanha são países da Europa de Leste, antigas repúblicas da URSS e países da Ásia Central, embora tenham sido detectadas vítimas também na Europa Ocidental e América do Norte

Lisboa, 14 de Janeiro de 2013 – A Kaspersky Lab publica hoje um relatório de

investigação que identifica uma nova campanha de ciber-espionagem, dirigida a organizações diplomáticas e centros de investigação científica e governamentais em vários países, que já opera há pelo menos cinco anos. Esta campanha dirige-se a países da Europa de Leste, a ex-repúblicas da antiga URSS e a países da Ásia Central, embora entre as vítimas se contem também organismos da Europa Ocidental e América do Norte.

O principal objectivo dos criadores era obter documentação sensível das organizações comprometidas, que incluíssem dados de inteligência geopolítica, bem como credenciais de acesso a sistemas classificados de computadores, dispositivos móveis pessoais e equipamentos de rede.

(2)

Em Outubro de 2012, a equipa de analistas da Kaspersky Lab iniciou uma investigação à raiz de uma série de ataques dirigidos contra redes informáticas internacionais de diferentes agências de serviços diplomáticos. Segundo o relatório de análise da Kaspersky Lab, a Operação Outubro Vermelho, também chamada “Rocra” pela sua sigla em inglês, ainda continua activa e já opera desde 2007.

Principais dados:

Rede de Ciber-espionagem Avançada Outubro Vermelho: Os ataques têm estado

activos pelo menos desde 2007 e centram-se nas agências diplomáticas e governamentais de diversos países de todo mundo, além de instituições de investigação, grupos energéticos e nucleares, comércio e indústrias aeroespaciais. Os autores do Outubro Vermelho desenharam o seu próprio malware, identificado como "Rocra", que tem a sua própria arquitectura modular única composta por extensões, módulos maliciosos que roubam informação e Trojans backdoors.

Os cibercriminosos usavam a informação filtrada de redes infectadas para ter acesso a sistemas adicionais. Por exemplo, as credenciais roubadas eram compiladas numa lista que é utilizada quando os atacantes precisam de descobrir senhas ou frases para aceder aos sistemas adicionais.

Para fazer com o controlo da rede de equipamentos infectados, criaram mais de 60 nomes de domínio e localizaram-nos em vários servidores de hosting em diferentes países, sendo a maioria na Alemanha e Rússia. A análise da Kaspersky Lab aos C&C mostra que a infra-estrutura da corrente de servidores estava a trabalhar como proxy (redes informáticas) para ocultar a localização do servidor de controlo principal.

A informação roubada nos sistemas atacados inclui documentos com as extensões: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. A extensão “acid”, concretamente, aparece para se referir ao software classificado "Acid Cryptofiler" que foi utilizado anteriormente por várias entidades, desde a União Europeia à NATO.

(3)

Vítimas infectadas

Os cibercriminosos atacavam os equipamentos das vítimas através de uma campanha de phishing que incluía um Trojan personalizado. O Trojan instalava o malware e infectava o sistema de email malicioso, incluindo exploits manipulados por vulnerabilidades de segurança dentro do Microsoft Office e Microsoft Excel.

Os exploits dos documentos usados para lançar os mails de phishing foram criados por outros cibercriminosos e utilizados em diferentes ciber-ataques, como os dos activistas do Tíbet e os do sector energético na Ásia. A única variação introduzida no documento utilizado pelo Rocra foi um executável integrado que os atacantes substituíram pelo seu próprio código. Em particular, um dos comandos no Trojan muda o código da página de um equipamento infectado para 1251, código requerido para representar fontes cirílicas.

Organizações e alvos

Os analistas da Kaspersky Lab usaram dois métodos para analisar as vítimas afectadas. Para isso, utilizaram primeiro as estatísticas de detecção da Kaspersky Security Network (KSN), um serviço de segurança baseado na nuvem que os produtos da Kaspersky utilizam para reportar telemetria e implementar protecção avançada para as ameaças através de listas negras e normas heurísticas.

A KSN já estava a detectar o código do exploit utilizado no malware desde 2011, o que permitiu à equipa de analistas da Kaspersky Lab rastrear detecções relacionadas com o Rocra. O segundo método utilizado pela equipa de investigação foi criar um servidor sinkhole para poder monitorizar os equipamentos infectados ligando aos servidores C2 do Rocra. Os dados recolhidos por ambos os métodos frutificaram em duas formas independentes de correlacionar e confirmar as suas conclusões:

• Estatísticas KSN: várias centenas de sistemas únicos infectados foram detectadas através dos dados da KSN, com foco em múltiplas embaixadas, redes governamentais e organizações, institutos de investigação científica e consulados. Segundo os dados da KSN, a maioria das infecções foi identificada sobretudo na Europa de Leste, mas outras infecções foram também

(4)

encontradas na América do Norte e em países da Europa ocidental, como Suíça e Luxemburgo.

• Estatísticas Sinkhole: a análise do sinkhole da Kaspersky Lab foi levada a cabo entre Novembro de 2012 a Janeiro de 2013. Durante esse tempo, registaram-se mais de 55.000 ligações a partir de 250 endereços IP infectados, registados em 39 países. A maioria das ligações IP infectadas procedia da Suíça, seguida do Cazaquistão e Grécia.

Malware Rocra: arquitectura única e características

Os atacantes criaram uma plataforma de ataque multifuncional que incluía diferentes extensões e ficheiros maliciosos desenhados para se adaptarem rapidamente à configuração de diferentes sistemas e extrair a inteligência dos equipamentos infectados. Esta plataforma é única do Rocra e não tinha sido identificada pela Kaspersky Lab em nenhuma campanha de ciber-espionagem prévia. Entre as suas características mais destacadas encontram-se:

• Módulo de ressurreição: um único módulo permite aos atacantes “ressuscitar” os equipamentos infectados. O módulo está embebido num plug-in dentro do Adobe Reader e na instalação do Microsoft Office e proporciona ao cibercriminoso uma fórmula para poder reaceder aos sistemas alvo do ataque, no caso de o corpo principal do malware ser detectado e eliminado ou se o sistema foi corrigido. Uma vez que os C2s estejam de novo operativos, o atacante envia um documento especializado (PDF ou Office) aos equipamentos das vítimas via e-mail e o malware é de novo activado.

• Módulos de encriptação de espionagem avançada: o principal objectivo dos módulos de espionagem é o roubo de informação. Inclui ficheiros de diferentes sistemas de encriptação, como o Acid Cryptofiler, que é conhecido por ser utilizado em organizações como a NATO, a União Europeia, o Parlamento Europeu e a Comissão Europeia desde o Verão de 2011 para proteger informação sensível.

• Dispositivos móveis: além de atacar estações de trabalho tradicionais, o malware é capaz de roubar dados de dispositivos móveis, como smartphones (iPhone, Nokia e Windows Mobile). O malware também é capaz de roubar

(5)

informação sobre a configuração de equipamentos em redes corporativas como routers ou switches, bem como ficheiros apagados de discos rígidos externos. • Identificação do atacante: com base no registo de dados nos servidores C2 e

dos numerosos “artefactos” deixados nos executáveis do malware, existe uma importante evidência técnica que indica que os atacantes têm origens relacionados com o idioma russo. Além disso, os executáveis utilizados eram desconhecidos até há pouco tempo e não foram identificados pelos analistas da Kaspersky Lab em análises a ataques de ciber-espionagem prévios.

A Kaspersky Lab, em colaboração com organizações internacionais, agências da autoridade e CERTs (equipas de resposta a emergências informáticas) continua a sua investigação sobre o Rocra, facilitando a sua expertise técnica e os seus recursos para o desenvolvimento de processos de resolução e mitigação.

A Kaspersky Lab gostaria de expressar seu agradecimento a: US-CERT, o CERT Romeno e Bielorrusso pela sua ajuda com a investigação.

Os produtos da Kaspersky Lab detectam o malware Rocra, classificado como Backdoor.win32.sputnik, bloqueando-o e desactivando-o.

Mais informação:

http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_C yber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

Sobre a Kaspersky Lab

A Kaspersky Lab é o maior fabricante de soluções de segurança endpoint. A companhia é uma dos quatro principais fabricantes mundiais de soluções de segurança informática para utilizador final*. Ao longo dos seus 15 anos de vida, a Kaspersky Lab tornou-se numa inovadora empresa de segurança de TI que oferece soluções eficazes de segurança digital para utilizadores, PMEs e empresas. Actualmente opera em quase 200 países e regiões de todo mundo, oferecendo protecção a mais de 300 milhões de utilizadores. Mais informação em www.kaspersky.pt.

* A companhia ocupa a quarta posição no Ranking Mundial da IDC de Fabricantes de Soluções de Segurança TI para Utilizador Final em 2010. A lista foi publicada no Relatório Mundial da IDC sobre Produtos de Segurança TI nas previsões de 2011-2015 e o de Fabricantes 2010 em Dezembro 2011. O relatório classificava os diferentes fabricantes de acordo com as receitas obtidas pela venda de soluções de segurança para utilizador final em 2010.

(6)

Para mais informações, contacte:

Kaspersky Lab Iberia

Vanessa González

Directora de Comunicação Tel. +34 91 398 37 52

Email vanessa.gonzalez@kaspersky.es

© 2012 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros técnicos ou editoriais ou omissões cometidos no texto.

LANÇA PALAVRA

Ana Margarida Paula Tel. +351 962543653 Fax +351 243372981

Referências

Descarregar agora ( PDF - 6 páginas - 628.69 KB )

Documentos relacionados

Derechos humanos y mecanismos de interdicción de la morosidad administrativa — Una nueva legitimidad

nuestra especialidad por su especial proyección en el ámbito del procedimiento administrativo y el proceso contencioso administrativo, especialmente los alcances de la garantía

Relatório profissional: a recolha de resíduos urbanos, um caso-estudo

Este dado diz respeito ao número total de contentores do sistema de resíduos urbanos indiferenciados, não sendo considerados os contentores de recolha

Out-of-plane in situ cyclic testing of unreinforced stone masonry walls with distributed loads

This work included a general overview of different topics, starting with the experimental out- of-plane behaviour characterization of unreinforced and strengthened stone

PresidentePaulo Ernani Gadelha VieiraESCOLA POLITÉCNICA DE SAÚDE JOAQUIM VENÂNCIO

Hoje o gasto com a saúde equivale a aproximada- mente 8% do Produto Interno Bruto (PIB), sendo que, dessa porcentagem, o setor privado gasta mais que o setor público (Portal

PROCESSO DE APOIO À ESCOLHA DE PROFISSIONAIS PARA GERÊNCIA DE PROJETOS DE TECNOLOGIA DA INFORMAÇÃO COM BASE EM SOFT SKILLS

a) AHP Priority Calculator: disponível de forma gratuita na web no endereço https://bpmsg.com/ahp/ahp-calc.php. Será utilizado para os cálculos do método AHP

Supervised Classification Applied to Hot-Spot Detection in Protein-Protein Interfaces

For a better performance comparison, and due to the difficulty in categorizing ML approaches in a simple way, we began by characterizing them in agreement with Caret’s

Open Journal Systems

Para devolver quantidade óssea na região posterior de maxila desenvolveu-se a técnica de eleva- ção do assoalho do seio maxilar, este procedimento envolve a colocação de

BUDISMO-PARA-LEIGOS.pdf

Se você vai para o mundo da fantasia e não está consciente de que está lá, você está se alienando da realidade (fugindo da realidade), você não está no aqui e