Cibercrime: Ninguém está seguro

Na SAS 2016, conferência organizada pela Kaspersky, foram apresentados três esquemas de ataque a instituições financeiras Fonte: Kaspersky

Os sistemas financeiros estão na linha da frente dos ataques, mas direta ou indiretamente, todos estamos em risco. O cibercrime é uma guerra silenciosa e quanto mais soubermos sobre ela, melhor.

De uma brincadeira ou desafio, a pirataria informática passou a assunto sério no momento em que o sistema financeiro se ligou à rede. O cibercrime existe desde os primeiros tempos da Internet, mas massificou-se quando se percebeu que era possível ganhar dinheiro com isso. Desde então, os bancos tornaram-se um dos principais alvos dos criminosos. Este foi um dos grandes temas da cimeira Security Analyst Summit (SAS), que decorreu entre 7 e 11 de fevereiro em Tenerife.

aqui falámos do Poseidon, uma das principais descobertas anunciadas na #TheSAS2016 (etiqueta do evento no Twitter). Este é o primeiro grupo conhecido de ciberespionagem com origem no Brasil e tem a particularidade de atacar os sistemas Windows em português do Brasil (além do inglês). Mas houve outros destaques nas SAS 2016.

A Kaspersky identificou três grupos particularmente ativos: o Carbanak(numa nova versão 2.0), o Metel e o GCMAN. Estes criminosos usam ferramentas APT (do inglês Advanced Persistent Threat – um conjunto de técnicas de cibespionagem) e malware (software malicioso) personalizado juntamente com software legítimo concebidos sobretudo para roubar dinheiro.

O Metel tem por alvo as máquinas ATM (multibanco). Infiltram-se no sistema informático dos bancos, geralmente através de vulnerabilidades dos browsers ou por anexos de email infetados (phishing) que, uma vez abertos algures dentro da organização, se vão infiltrando até chegarem ao controlo das transações bancárias. Quando o conseguem, utilizam uma manobra chamada “reversão de transações em ATM”. Esta técnica garante que o saldo da conta se mantém o mesmo, independentemente do número de transações efetuadas. Nos exemplos identificados, o grupo criminoso roubou dinheiro enquanto viaja por várias cidades na Rússia durante a noite, esvaziando máquinas ATM que pertencem a vários bancos, repetidamente, usando os mesmos cartões de débito emitidos pelo banco atacado.

Até ao momento não foram registados ataques fora da Rússia, mas os investigadores afirmaram que a infeção deverá estar muito mais espalhada. Estas organizações dependem de esquemas de lavagem de dinheiro, pelo que operam preferencialmente onde estas são mais fáceis de fazer.

Mas no que toca à capacidade de disfarce, o GCMAN vai ainda mais longe: consegue infiltrar-se sem usar qualquer malware, executando apenas utilitários legítimos. Num ataque observado pela Kaspersky Lab, os cibercriminosos permaneceram na rede cerca de um ano e meio antes de realizar o golpe. O dinheiro foi depois transferido em quantias máximas de 200 dólares, o limite estabelecido na Rússia para se poderem fazer pagamentos anónimos. A cada minuto, lançavam um programa malicioso e uma nova quantia era transferida para uma conta virtual pertencente a um cúmplice. As ordens de transação eram enviadas diretamente para o mecanismo que processava os pagamentos no banco, não aparecendo nos sistemas internos.

O Carbanak 2.0 marca o reaparecimento da “ameaça persistente” (APT) Carbanak, ativa desde 2013, com ferramentas e técnicas idênticas mas com um perfil de vítima diferente e novas estratégias de obter dinheiro. Os alvos do Carbanak 2.0 já não são apenas os bancos, mas os departamentos financeiros e de orçamento de qualquer organização de interesse. Num caso observado pela Kaspersky, o Carbanak 2.0 acedeu a uma instituição financeira e alterou as credenciais de propriedade de uma companhia de grande dimensão. A informação foi modificada para nomear um cúmplice como sócio da companhia.

Outro dos esquemas aprofundados na Security Analyst Summit 2016 em Tenerife, foi o aperfeiçoamento de uma ferramenta chamada Adwind RAT (Remote Access Tool – ferramenta de acesso remoto). Este programa está disponível na internet (por um sistema de subscrição), é multiplataforma (Windows, OS X, Linux, Android) e permite, além do controlo remoto do ambiente de trabalho:

• Registar as teclas premidas no teclado do utilizador
• Roubar passwords armazenadas em cache e os dados de acesso de formulários web
• Fazer capturas de ecrã
• Tirar fotografias e gravar vídeos com a câmara web
• Gravar som através do microfone
• Transferir ficheiros
• Roubar chaves para porta-moedas eletrónicos
• Administrar SMS (para Android)
• Roubar certificados VPN

Entre 2013 e 2016, foram usadas diferentes versões do Adwind em ataques contra pelo menos 443 mil utilizadores particulares e organizações em todo o mundo. A plataforma e o malware continuam ativos, os alvos estão por todos os segmentos de atividade, empresas ou particulares em qualquer parte do mundo.

adwind

A oitava edição da Security Analyst Summit decorreu entre 7 e 11 de fevereiro na ilha espanhola de Tenerife. É organizada pela Kaspersky, companhia multinacional de segurança informática com sede em Moscovo. Este ano recebeu cerca de 340 pessoas, que chegam a esta cimeira de cibersegurança apenas por convite. Nela participam funcionários da Kaspersky, programadores, responsáveis de empresas multinacionais mas também de startups que se dedicam ao desenvolvimento de sistemas de segurança, programadores, hackers e agentes do FBI – com quem a Kaspersky trabalha estreitamente. Uma mistura de pessoas que têm na cibersegurança a linguagem comum.

A conferência do primeiro dia aconteceu no Magma Arte & Congressos, um edifício monumental, em pedra e aço, feito de muitas arestas que colaram na perfeição com o ambiente onde, a toda a hora, se sentia que o risco está por toda a parte. Eugene Kaspersky, o fundador da empresa, abriu a agenda com uma apresentação breve. Bem-disposto, deu rapidamente a entender a quem ali estava pela primeira vez que a SAS é um evento quase familiar e, diga-se, peculiar.

Um miúdo, Ruben Paul, com apenas 10 anos de idade, foi o primeiro orador. É de pequeno que se começa, “a segurança informática começa connosco”, e com razão. Mas este miúdo é especial, com esta idade já deu uma dezena de conferências sobre malware. Usa bonecos para explicar às crianças os perigos e os fundamentos, com graça e simplicidade. De onde vêm as ameaças e como é que nos devemos proteger: não falar e muito menos partilhar informação com desconhecidos, não clicar em links estranhos e ter muito cuidado com os jogos – a principal porta de entrada de malware, quer nos computadores, quer nos dispositivos móveis.

E foi mais longe. Demonstrou ali, ao vivo e a cores, o quão fácil é fazer um clone de um site. Ruben escolheu o popular Minecraft. Percebemos muito pouco do que ele fez mas pareceu demasiado fácil, assustadoramente prático até, fazer uma copia de um site e depois espalhar esse link falso e ficar a espera que algum distraído clique nele. A maioria dos utilizadores, basicamente. Em pouco mais de 10 minutos criou esse link que lhe deu acesso, num tablet, não apenas à localização do utilizador enganado, mas à câmara do dispositivo. Para Ruben Paul, foi canja. E concluiu: “Não subestimem os miúdos”. Não, de todo.

Depois a linguagem complicou-se. Falou-se de segurança de sistemas, dos mais complexos aos mais simples. A Internet das Coisas (IoT) está no centro das preocupações dos especialistas, que demonstraram por diversas vezes que esta está a ser construída rapidamente e quase sem segurança. Um dos problemas é que ainda não foi definida uma linguagem de comunicação padrão para unir todos os dispositivos que se estão a ligar à rede — a Internet e “as coisas”, como por exemplo umsmartwatch, uma lâmpada, um frigorífico, um termóstato ou uma fechadura eletrónica, câmaras de vigilância e até brinquedos, todos já foram “hackeados” (pirateados).

As fragilidades são muitas e não é só no universo da Internet das Coisas, estão também no setor industrial, ao qual foi dedicada uma sala no segundo dia do evento. Nestas conferências — onde por vezes o conteúdo era sensível ao ponto de não ser permitida a captação de imagens dos esquemas e do material usado em testes de intrusão — foi relatado e demonstrado, por exemplo, como é que se pirateia uma torre móvel 3G para capturar e descodificar processos de autenticação de dois passos (um sistema de segurança cada vez mais usado nos acessos a serviçosonline – por exemplo no email); e também que os periféricos utilizados para monitorizar e calibrar todos os sistemas industriais são inseguros e facilmente pirateáveis. Estes dispositivos, coisas tão simples como um voltímetro, são depois usados noutros equipamentos que, para serem invadidos, não precisam de estar ligados à Internet. As ameaças do mundo online passam com muita facilidade para o mundo offline.

E mais. As comunicações de satélite, os sistemas de controlo naval, foram alguns os exemplos de redes não protegidas, a que se pode ter acesso com material comprado no Ebay. Foram debatidas as preocupações sobre a (frágil) segurança da rede elétrica e como os equipamentos hospitalares estão cada vez mais expostos – e por consequência, a vida de quem deles depende.

Organizações e países movimentam-se atualmente no desenvolvimento de sistemas e estratégias de ataque e defesa, uma guerra silenciosa que passa despercebida ao grande público, que vê na tecnologia do dia a dia um dado adquirido, fundamental e seguro. Mas o futuro é feito de terreno desconhecido e, visto dali, o cenário é negro.

Ainda assim, a SAS deixou uma mensagem clara: é importante aprender com todos os ataques, mesmo com os que acontecem aos outros. O paradigma de defesa cibernética está a mudar e, ao contrário do que se tem passado até aqui – a ocultação – é muito importante divulgar todas as lacunas. Não esconder o que se passa é fundamental para aumentar o conhecimento das empresas e autoridades de segurança. Isto porque, quanto mais bem preparadas estiverem as vítimas, mais difícil é para os atacantes. (Observador)

por Pedro Esteves em Tenerife (Espanha)

SEM COMENTÁRIO

DEIXE UMA RESPOSTA