A Symantec denunciou nesta terça-feira (19) uma gigantesca operação de espionagem contra empresas e órgãos governamentais nos Estados Unidos e sudeste da Ásia, com o objetivo de interceptar comunicações e até interromper seu funcionamento nos países atingidos. Os ataques teriam comprometido até mesmo satélites de importância fundamental para o funcionamento global da internet e redes de telefonia móvel, o que levou a uma associação com o governo chinês, mas sem atribuição de responsabilidade a ele.
De acordo com o relatório da empresa de segurança, casos desse tipo são raros, mas não incomuns. A Symantec não soube dizer exatamente a extensão da operação, mas afirmou que os hackers foram capazes de acessar os computadores que controlam satélites em órbita da Terra, e, entre outras atividades, conseguiram modificar sua posição, algo que traria efeitos bastante danosos para a comunicação em escala global, além de afetar serviços de posicionamento e mapeamento.
Os especialistas também não divulgaram uma lista de órgãos afetados, mas disse que os ataques poderiam ser realizados tanto contra instituições militares ou governamentais quanto na direção da sociedade civil. Os golpes, entretanto, estariam relacionados a interesses políticos, envolvendo a espionagem internacional e uma tentativa de obter dados e informações trafegadas pelas linhas de comunicação comprometida.
A ameaça foi descoberta pela primeira vez em janeiro, após indícios de mau uso de softwares comuns em computadores de clientes da Symantec, bem como comportamento anormal de outras soluções cotidianas. A partir daí, seguiu adiante uma investigação que levou à descoberta de uma série de alvos da operação de espionagem, bem como mais informações sobre seu funcionamento. As informações foram compartilhadas com o FBI e o Departamento de Segurança Nacional do governo dos EUA, bem como com órgãos equivalentes na Ásia e Europa, além de outras empresas que trabalham com cibersegurança.
A operação foi atribuída a um grupo hacker conhecido como Thrip, que está agindo desde 2013 e tem a extensão de suas atividades desconhecida, pois utiliza diferentes nomes e pode ser reconhecido, também, por alcunhas diferentes em relatos de outras companhias de segurança da informação. O time ficou “desaparecido entre 2016 e 2017, não tendo casos registrados até meados do ano passado, quando começou a trabalhar no esquema revelado agora.
Entretanto, ainda de acordo com a Symantec, o período de sumiço não foi necessariamente ocioso, mas sim, utilizado pelos hackers para o desenvolvimento de ferramentas de intrusão e também a aprimoração de recursos já existentes. Isso resultou nos ataques sofisticados revelados nesta semana, cuja origem ainda não pôde ser determinada com exatidão.
No passado, o Thrip tinha os e-mails falsos e mensagens de phishing como seu principal vetor de infecção. Desta vez, entretanto, o caminho da praga aconteceu de servidor a servidor, o que dificultou a detecção e permitiu o funcionamento da operação durante todo o tempo. Segundo a Symantec, o esquema já foi desativado e todos os computadores comprometidos foram limpos de forma posterior à divulgação da ameaça.
Ainda, a Symantec afirma que os ataques tiveram sua origem em três computadores localizados na China, mas evitou responsabilizar o país sobre eles ou criar relações entre o Thrip e o governo asiático. A companhia diz que essa possibilidade sempre existe, é claro, assim como a de que as máquinas tenham sido comprometidas por terceiros, seja como forma de burlar investigações sobre as intrusões ou realizar operações de false-flag, com os responsáveis originais agindo de forma a fazer parecer que outros agentes estão por trás das ações.
A Future é parceira Symantec e possui soluções para proteger seus dados e de sua empresa contra ataques. Para saber mais, entre em contato conosco!
Fonte: Canal Tech, Reuters.