BR-Linux.org

Pesquisadores descobrem spyware em computadores de ministérios, embaixadas e outras instituições de “alto valor político”

Uma investigação de crimes digitais descobriu que 1.295 computadores em 103 países estavam sendo espionados. Segundo o relatório de 53 páginas divulgado no domingo, 30% dos PCs invadidos pertencem a ministérios de relações exteriores, embaixadas, organizações internacionais, empresas de comunicação e organizações não-governamentais. O relatório ainda fornece as evidências mais detalhadas sobre crackers com motivação política ao mesmo tempo em que levanta dúvidas sobre a relação destes criminosos com governos.

A rede de espionagem, chamada GhostNet, utiliza o malware chamado gh0st RAT (Remote Access Tool) para roubar documentos sensíveis, acessar Web cams e assumir completamente o controle de máquinas infectadas.

“A GhostNet é uma rede de computadores infectados residente em localizações de alto valor político, econômico ou de mídia, espalhada por vários países do mundo,” aponta o relatório criado pela Warfare Monitor, projeto de pesquisa do grupo SecDev Group e da Universidade de Toronto, Canadá. “Neste momento, temos quase certeza que as organizações atingidas não têm idéia da situação em que se encontram.”

Ao todo, segundo os pesquisadores, 30% das máquinas infectadas eram “de alto valor” diplomático. Estes computadores estavam em Bangladesh, Barbados, Butão, Brunei, Indonésia, Irã, Letônia e Filipinas. Havia computadores infectados pertencentes as embaixadas de Chipre, Alemanha, Índia, Indonésia, Malta, Paquistão, Portugal, Romênia, Coréia do Sul, Taiwan e Tailândia.

Os pesquisadores ressaltaram, no entanto, que eles não têm confirmação de que as informações obtidas tinham valor e foram vendidas comercialmente ou passadas como inteligência.

A GhostNet começou por volta de 2004, período em que os pesquisadores perceberam que as organizações começaram a receber muitas mensagens falsas de e-mail com arquivos anexados, explica Mikko Hypponen, diretor de pesquisa antivírus da F-Secure. Hypponen, que pesquisa sobre o ataque por anos, afirma que as táticas da GhostNet evoluíram muito desde a primeira tentativa. “Nos últimos três anos, foi bem mais avançada e técnica.”

“É muito interessante ver discussão em torno desse tema, por que é muito antigo e ninguém parecia estar prestando atenção,” acrescentou.

Evidências mostram que servidores na China coletavam alguns dos dados sensíveis, mas os pesquisadores têm cautela e não afirmam que há uma relação direta entre a rede e o governo chinês.

“Atribuir todo malware chinês como um ato deliberado da inteligência do país é errado e causa enganos,” aponta o relatório. Ainda assim, ressalta o relatório, a China fez esforços claros desde a década de 90 para usar o cyberspace para ganhar vantagem militar.

Um segundo relatório, escrito por pesquisadores da Universidade de Cambridge, Inglaterra, e publicado em conjunto com o texto da Universidade de Toronto, foi menos cuidadoso. A análise aponta que os ataques contra o escritório de Dalai Lama (OHHDL, da sigla em inglês) foram lançados por “agentes do governo Chinês.”

Os pesquisadores tiveram acesso aos computadores pertencentes aos dirigentes do governo tibetano que estão exilados, a organizações não governamentais relacionadas com o Tibet e do escritório pessoal de Dalai Lama.

Eles descobriram infecção de malware que permitia o roubo de dados a crackers remotos. As máquinas foram atingidas após usuários abrirem anexos maliciosos ou clicarem em links que levavam para sites nocivos. Neste momento, as pragas procuravam vulnerabilidades em software para assumir o controle da máquina.

Conforme investigavam a rede, os pesquisadores descobriram que os servidores que armazenavam os dados roubados não tinham proteção. Eles assumiram o controle destas máquinas e passaram a monitorar os computadores que foram crackeados. Três dos quatro servidores estavam na China, enquanto um estava nos Estados Unidos. (via idgnow.uol.com.br)

Saiba mais (idgnow.uol.com.br).