Empresas preparam ‘autodesligamento’ de software usado por hackers contra governo dos EUA | Blog do Altieres Rohr


O mecanismo não foi ativado pelos ciberspiões, mas por especialistas de segurança.

Uma colaboração entre a FireEye, a Microsoft e a GoDaddy permitiu tirar o controle dos hackers sobre o endereço com qual o vírus se comunica para obter instruções. Os técnicos então configuraram o endereço de tal maneira que o programa espião, ao contatar esse servidor, se desativa em caráter permanente.

Na prática, é semelhante a um comando de autodestruição. Porém, nenhum comando específico foi enviado e nenhuma modificação é realizada nos computadores das vítimas – o vírus simplesmente “adormece”.

O vírus foi programado para não mais se comunicar com seu sistema de controle caso o endereço de IP fosse configurado para uma das várias redes da Microsoft. É possível que os invasores tivessem previsto que a fabricante do Windows assumiria o controle do endereço e, sem saber do mecanismo de desligamento, acabassem interrompendo todo o funcionamento da praga digital.

A Microsoft tem atuado contra diversas pragas digitais criando o que especialistas chamam de “sinkholes”. A ideia é redirecionar a comunicação de pragas digitais para um sistema benigno, que pode ser estudado para ajudar a identificar vítimas e prever os próximos passos dos criminosos.

A FireEye, porém, confirmou em comunicados à imprensa que o mecanismo foi usado propositalmente pelos especialistas para desativar a praga digital. A Microsoft foi citada pela FireEye desde o primeiro anúncio público da FireEye sobre a invasão como uma colaboradora das investigações.

A FireEye destacou que essa medida não vai eliminar outros códigos maliciosos que os espiões podem já ter instalado nas redes atacadas. A medida vai apenas impedir que outros invasores se aproveitem dessa brecha de acesso remoto.

O efeito também lembra a ação do britânico Marcus Hutchins, que freou o ataque do vírus WannaCry em 2017 assumindo o controle do endereço de comando da praga digital.

Ataque à FireEye: hackers acessaram ferramentas de ataque — Foto: Arte/G1

  • A consultoria de segurança digital FireEye informou em 8 de dezembro que sofreu um ataque de hackers e que eles conseguiram roubar suas ferramentas de ataque. A empresa afirma que suspeita de envolvimento de um grupo sofisticado e patrocinado por um governo, mas não informa de qual país
  • No domingo (13), a imprensa norte-americana divulgou que o governo dos Estados Unidos estava reagindo a um ataque cibernético que havia atingido diversas agências e departamentos, inclusive o Tesouro. A imprensa norte-americana afirma que existem suspeitas de que os russos seriam os responsáveis, mas representantes do governo de Putin negaram
  • Ainda no domingo, a FireEye publicou mais detalhes sobre a invasão e revelou que os hackers atuaram por meio do Orion, um software de monitoramento de rede da SolarWinds, uma empresa de tecnologia dos Estados Unidos
  • A SolarWinds confirmou que foi vítima de hackers na segunda-feira (14). Em nota, a empresa explicou que uma atualização distribuída entre março e junho foi acompanhada de um programa malicioso que dá acesso remoto aos sistemas de clientes – entre os quais estão o governo americano, empresas de telecomunicações e centenas de grandes empresas. Segundo a SolarWinds, “menos de 18 mil clientes” baixaram a atualização sabotada.
  • A Microsoft assumiu o controle do sistema de comando usado pelo software espião na terça-feira (15). A FireEye então confirmou que o endereço foi configurado para ativar um mecanismo existente no software que desativa seu funcionamento, impedindo novos ataques.
  • Nesta quinta-feira (17), a Microsoft admitiu que ela também foi invadida pelos hackers, mas negou que eles tenham conseguido comprometer dados ou aplicativos de clientes.

A FireEye disse ter identificado e comunicado vítimas do ataque na Europa, na Ásia e no Oriente Médico. A maioria das empresas e alvos não teve seu nome de divulgado. Veículos de imprensa norte-americanos já citaram as seguintes invasões:

  • Governo dos Estados Unidos: Departamento do Tesouro, Administração Nacional de Telecomunicações e Informações, Institutos de Saúde do Departamento de Saúde, Agência de Cibersegurança e Segurança de Infraestrutura, Departamento de Segurança Nacional, Departamento de Estado, Administração Nacional de Segurança Nuclear, Departamento de Energia
  • Estados: Fontes anônimas afirmaram que pelo menos três estados norte-americanos tiveram suas redes invadidas, mas foi informado quais seriam esses estados.
  • Cidades: Austin (Texas)
  • Empresas: FireEye, Microsoft, SolarWinds

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Veja 5 dicas se segurança para a sua vida digital:

5 dicas de segurança para sua vida digital

5 dicas de segurança para sua vida digital

Veja mais vídeos de SEGURANÇA DIGITAL



Fonte: G1