Ameaça difere daquelas que usuários recebem diariamente.
Proteção depende de educação e ferramentas de monitoramento.
A companhia de segurança McAfee divulgou a existência de uma série de ataques sistemáticos iniciada em 2006 e que teria comprometido 72 organizações,
entre elas entidades ligadas a governos federais, às Nações Unidas
(ONU) e o Comitê Olímpico Internacional (COI). Os ataques, porém, são
diferentes das invasões cotidianas das quais os usuários precisam se
proteger diariamente.
Essas invasões a grandes instituições são resultado de ataques
direcionados, mais recentemente classificados como Ameaças Avançadas
Persistentes (APT, na sigla em inglês).
Um hacker que realiza um ataque
desse tipo estuda o alvo e cria um código malicioso específico,
programado para realizar apenas o necessário e não ser detectado.
O maior problema é que as técnicas hoje conhecidas e em uso por hackers
para ataques comuns são quase que rudimentares frente ao que está
disponível para um golpe avançado. Um ataque direcionado pode enviar um
e-mail que seja relacionado ao trabalho do funcionário alvo, e pode
forjar o remetente para parecer ser enviado de um colega ou chefe –
“coincidências” que legitimam a mensagem falsa, e que são impraticáveis
em ataques genéricos.
Os arquivos maliciosos normalmente parecem ser documentos, como
arquivos do Word e PDFs. Usando falhas de segurança nos softwares que
leem esses arquivos, os hackers conseguem executar programas maliciosos
por meio desses documentos, o que normalmente não é possível.
A solução para esses ataques depende de equipes especializadas para
analisar arquivos maliciosos e o monitoramento do tráfego da rede.
Soluções contra vazamento de dados (DLP) são normalmente derrotadas por
esses vírus específicos, que usam mecanismos de criptografia para
transmitir os dados roubados, segundo informações da fabricante de
antivírus Kaspersky Lab.
Motivação
A McAfee acredita que algum governo patrocinou o ataque. Os alvos,
segundo a empresa, carecem de motivação financeira e o objetivo,
portanto, teria de ser político.
Especialistas especulam que a origem dos ataques seja chinesa. O país
já foi acusado de estar por trás de outras invasões semelhantes.
Outra coincidência é a invasão ao Comitê Olímpico Internacional e
comitês nacionais, que teria ocorrido junto à preparação dos Jogos de
Pequim em 2008.
No entanto, nem todos os ataques ocorrem por motivos políticos – e
empresas privadas também são alvo desses ataques. Para Dmitri
Alperovitch, vice-presidente de pesquisa da McAfee, as 2 mil maiores
empresas do mundo podem ser divididas em dois grupos: as que já sabem
que foram comprometidas e as que ainda não sabem.
Ameaças avançadas persistentes
Uma ameaça avançada persistente é, como o nome sugere, uma invasão
sofisticada que, de forma lenta e persistente, procura atingir seu
objetivo – normalmente o roubo de informação.
Os códigos maliciosos usados nesse tipo de ataque tentam esconder sua presença e, aos poucos, avançar na rede da organização.
É um ataque sistemático, localizado e específico, que dificulta a detecção.
Outras operações
A China já foi ligada a outros ataques de ameaças avançadas.
A operação de espionagem Dragão Noturno, descoberta também pela McAfee,
teve como alvo companhias de energia, principalmente as de petróleo.
Segundo a fabricante de antivírus, os horários de maior atividade da
rede eram os mesmos do horário comercial chinês – uma indicativa de que
essa operação também seria de origem chinesa.
Em 2010, a Operação Aurora comprometeu o Google e outras empresas de alta tecnologia.
Outra operação supostamente chinesa foi a Titan Rain, que teria
começado em 2003 e atacado o governo dos EUA e várias empresas que
prestam serviços e fabricam armas para o exército, além da NASA.
Hackers chineses foram novamente culpados por invasões em 2007, nos
ataques nomeados como Byzantine Foothold (“Apoio Bizantino”, em tradução
aproximada). Entre os alvos, novamente o governo norte-americano e a
Boeing.
A Rússia também foi culpada, em 1998. Naquele ano, duas séries de
ataques, batizadas de “Solar sunrise” (“Nascer do Sol Solar”) e
“Moonlight maze” (“Labirinto luar”) atingiram a Marinha e a Força Aérea
norte-americanas, e o Departamento de Defesa e a NASA, respectivamente.
No primeiro ataque, nada foi feito após a invasão. No segundo, dados
foram roubados e enviados para um computador na Rússia. O governo russo
negou participação.
Estados Unidos e Israel são os principais suspeitos da ameaça avançada
Stuxnet, que atingiu o programa nuclear Iraniano e é considerado o
código malicioso mais avançado já desenvolvido.
