A ameaça cibernética Cloud Atlas - também conhecida por ‘Inception’ e maioritariamente usada em prol da ciberespionagem - reforçou o seu modo de ataque com técnicas e ferramentas mais sofisticadas para infetar as vítimas.
Não só porque o ataque informático se tornou mais complexo, mas também porque as novas ferramentas permitem tornar o malware (software malicioso) invisível para a maioria das soluções de segurança, adianta esta segunda-feira a Kaspersky na análise às ATP no segundo trimestre do ano.
Foi o caso do TajMahal - plataforma de ciberespionagem detetada em abril que tem capacidade para roubar informação através de impressoras e retirar ficheiros visualizados a partir de um dispositivo USB numa reconexão seguinte -, que atacou um corpo diplomático num país da Ásia Central. Ou dos ataques à aplicação de mensagens WhatsApp, que conseguiram obter uma grande quantidade de dados armazenados na memória do dispositivo, como o email, câmara e microfone.
Recolhendo informações sobre os sistemas, credenciais de acesso e roubando arquivos de texto (.txt), pdf e excel (.xls) para um servidor de comando e de controlo, este é um tipo de ataque muito utilizado em operações de ciberespionagem contra o sector da indústria, entidades estatais e outros organismos, nota a Kaspersky. Tem especial incidência nos sectores internacional aeroespacial e da economia, em entidades religiosas e na administração pública de diversos países.
Portugal está entre os mais afetados por este tipo de ataques - a par da Roménia, Turquia, Ucrânia, Rússia, Turquemenistão, Afeganistão e Quirguistão.
Defesa tem que evoluir com ataques
Numa fase inicial destes ataques identificados em 2014, os piratas informáticos limitavam-se a enviar um email - conhecido como spear phishing - para levar o destinatário a clicar num arquivo em anexo repleto de malware (o PowerShower), que era executado no computador de forma a que os hackers conseguissem desenvolver o seu ataque.
Mas atualmente o método é outro. Hoje, num ataque deste tipo, após o email ser infetado, é descarregada e executada no computador uma aplicação maliciosa, que recolhe informação sobre este. Só depois é executado no computador outro software malicioso, que elimina as provas da presença do malware no sistema e decide ações futuras. “Em função do comando recebido , o malware é descarregado e executa posteriormente o PowerShower ou outra ‘porta traseira’”, lê-se no comunicado.
É por estes e outros ataques que eliminam as provas do crime que os investigadores da Kaspersky consideram que os indicadores de compromisso - dados que permitem identificar atividades potencialmente maliciosas, como irregularidades geográficas, endereços IP estranhos ou picos elevados no tráfego - “se tornaram obsoletos enquanto ferramenta fiável para detetar um ataque dirigido à rede”, realça Felix Aime, investigador de segurança da equipa de análise e investigação global (GReAT) da Kaspersky.
Mas isto não significa que “seja mais difícil capturar os hackers”, acrescenta. Apenas “que as capacidades de cibersegurança e o kit de ferramentas dos defensores têm que evoluir em paralelo com o kit de ferramentas e com as capacidades dos hackers que perseguem”.