 |
| Kaspersky alerta para um sofisticado vírus, após ataque em sua própria rede de computadores. |
A empresa de segurança Kaspersky descobriu uma nova versão do
programa malicioso Duqu, uma sofisticada plataforma de malware que tinha
como objetivo funcionar como uma backdoor nos sistemas que atacados e
permitir o roubo de informação confidencial. Só que o chamado Duqu 2.0
foi encontrado de uma maneira inusitada: por meio de um ataque à rede da
própria Kaspersky.
Eugene Kaspersky, CEO da Kaspersky Lab,
convocou uma coletiva de imprensa em Londres na quarta-feira (10)
para alertar sobre uma das ameaças mais letais aos PCs. O Duqu 2.0 é uma
evolução do worm exposto em 2011 e responsável por uma série de ataques
contra alvos da indústria. Na ocasião, o Duqu foi detectado na Hungria,
Áustria, Indonésia, Reino Unido, Sudão e Irã. Há indícios de que ele
foi usado para espionar o programa nuclear do Irã.
A nova versão
da ferramenta de ciberespionagem está ativa há, pelo menos, um ano, e já
atacou diversas organizações em todo o mundo, incluindo os próprios
sistemas da Kaspersky Lab e várias empresas de telecomunicações. No caso
do ataque à Kaspersky, o ataque se aproveitou de até três
vulnerabilidades de 'dia zero' no kernel do Windows. A análise revelou
que o principal objetivo dos hackers era espionar as tecnologias da
empresa, as pesquisas em curso, e os processos internos. Nenhuma
interferência nos processos ou sistemas da companhia foi detectada.
De acordo com a companhia, o Duqu 2.0 está vinculado a conversas
nucleares de P5 + 1, grupo de países que em 2006 juntaram esforços
diplomáticos para negociações sobre o programa nuclear do Irã. Além dos
eventos da P5 + 1, o grupo por trás do Duqu 2.0 lançou um ataque
semelhante em relação ao evento do 70º aniversário da libertação do
campo de concentração de Auschwitz-Birkenau.
De acordo com
Eugene, "a filosofia e o modo de pensar do grupo por trás do Duqu 2.0
está uma geração à frente de qualquer coisa já vista". O malware foi
projetado de maneira que é capaz de sobreviver quase exclusivamente na
memória dos sistemas infectados, sem a necessidade de persistência. Isso
significa que os hackers têm a certeza de que sempre haverá uma maneira
de manter uma infecção, mesmo se a vítima reiniciar sua máquina e o
malware desaparecer da memória. "Essa abordagem é muito sofisticada",
alerta a empresa de segurança.
O que está por trás do ataque?
Apesar
de relatar o ataque como algo proveniente da espionagem de algum
governo, a Kaspersky diz que não atribui o acontecimento a nenhuma nação
em particular, e reforça que seu compromisso é com a descoberta e
investigação dos ataques, e não com a política. Apesar disso, Eugene
aproveita para dizer que considera o ataque de governos a empresas de
segurança algo “simplesmente escandaloso”, pois todos deveriam estar do
mesmo lado, partilhando um objetivo comum de criar um mundo cibernético
mais seguro. Por fim, a empresa "convida os Estados-nação a respeitar as
regras, ética e bom senso no ciberespaço".
Quando questionado
sobre o motivo da divulgação dessa nova ameaça, ou se a empresa não tem
medo de prejudicar sua reputação, Eugene Kaspersky explica:
"Bem,
em primeiro lugar, não revelar: seria como não relatar à polícia um
acidente de carro com vítimas. Além disso, conhecemos a anatomia dos
ataques direcionados bem o suficiente para entender que não há nada do
que se envergonhar na divulgação de tal ataque – eles podem acontecer
com qualquer um. (Lembre-se: existem dois tipos de empresas , aquelas
que sabem que foram atacadas e aquelas que não foram atacadas). Ao
revelar o ataque, nós enviamos um sinal ao público e questionamos a
validade – e moralidade – de ataques presumivelmente patrocinados pelo
Estado contra empresas privadas em geral e empresas de segurança, em
particular; e compartilhar o nosso conhecimento com outras empresas para
ajudá-las a proteger seus ativos. Mesmo que isso faça 'mal à nossa
reputação', eu não me importo. Nossa missão é salvar o mundo"
