A empresa de segurança FireEye divulgou algumas informações sobre sua investigação a respeito de um grupo de hackers de provável origem chinesa que está mirando as indústrias marítima e de engenharia americanas. Batizado de "TEMP.Periscope" e chamado por algumas outras empresas de "Leviathan", é provável que o grupo tenha interesse nesses alvos por causa das disputas no Mar da China Meridional.

O TEMP.Periscope é um grupo de "APT" (sigla em inglês para Ameaça Avançada Persistente). São invasores que agem com objetivos específicos e contra alvos direcionados. Eles são diferentes dos criminosos que agem na internet e que visam os internautas em geral.

O grupo vem sendo rastreado desde 2013, mas ficou ocioso após as negociações do ex-presidente norte-americano Barack Obama com o presidente da China Xi Jinping em 2015. Os invasores voltaram à ativa no fim de 2017, com versões atualizadas de suas ferramentas de ataque.

O Mar da China Meridional é uma região disputada. Nele passam anualmente mercadorias avaliadas em bilhões de dólares e acredita-se existir grandes depósitos de gás e petróleo lá. Vietnã, Filipinas, Malásia, Brunei e Taiwan reivindicam algum controle sobre a região, mas a China vem construindo infraestrutura e tentando assumir o controle da área.

Os Estados Unidos voltaram a realizar patrulhas na região em 2007. Os americanos alegam que essa medida visa garantir a "liberdade de navegação".




Navios chineses são vistos nas águas das Ilhas Spratly no mar da China Meridional; imagem foi feita por avião (Foto: Marinha via Reuters)

De acordo com a FireEye, o tipo de informação buscado pelo TEMP.Periscope permitira a alguém responder perguntas como "qual é o alcance e a eficácia deste sistema de radar marinho?" ou "com quanta precisão um sistema pode detectar e identificar atividades no mar?" Essas informações dariam vantagem em negociações e atividades no Mar da China Meridional.

Além de empresas de engenharia e logística da indústria marítima, o grupo também atacou empresas dos setores de consultoria, alta tecnologia, saúde e imprensa. A maioria das vítimas é dos Estados Unidos, mas algumas também são europeias e uma é de Hong Kong. A FireEye não confirma se todas essas empresas chegaram a ser invadidas -- apenas que foi possível registrar tentativas de ataque. Também não foi informado o número total de vítimas.

Como outros grupos de APT, o TEMP.Periscope chega às vítimas usando "spear phishing", ou seja, e-mails direcionados e redigidos especificamente para seus alvos. Esse tipo de mensagem costuma ser bastante convincente e é mais difícil de ser reconhecida como maliciosa. O grupo também tira proveito de brechas para incluir o instalador de vírus em documentos, dando um ar de legitimidade ainda maior para os e-mails.

Uma das ferramentas usadas pelo TEMP.Periscope é chamada de "PHOTO". Esse vírus é capaz de realizar capturas de tela, gravar vídeo e áudio, listar e finalizar programas em execução, registrar as teclas digitadas, recuperar usuários e senhas em armazenamento protegido e modificar arquivos.

SAIBA MAIS
China afirma que navio de guerra dos EUA 'violou' sua soberania

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Os Estados Unidos e o Reino Unido acusaram formalmente o governo russo - e, especificamente, o exército russo - pelo vírus conhecido como "NotPetya" ou "ExPetr". Inicialmente classificada como vírus de resgate e depois reconhecida como código meramente destrutivo, a praga digital foi disseminada em junho de 2017 por meio do mecanismo de atualização automática do programa de contabilidade ucraniano M.E. Doc.

Acusações como esta são extremamente raras. Os Estados Unidos e o Reino Unido também acusaram a Coreia do Norte pelo vírus de resgate WannaCry -- este, de fato, era um vírus de resgate que cobrava um valor em criptomoedas para permiti que as vítimas recuperassem seus arquivos. Especialistas acreditam que a Coreia do Norte utiliza esses ataques e criptomoedas para obter fundos e burlar as sanções interacionais impostas ao país asiático.

No caso da Rússia, a Ucrânia vinha acusando o país de diversos ciberataques. Além do NotPetya, a Ucrânia também acusa a Rússia de estar por trás dos vírus que causaram dois apagões elétricos no país. Um relatório de inteligência da Estônia também apontou que o governo russo está por trás de dois grupos de invasão conhecidos por especialistas como APT28 ("Fancy Bear") e APT29 ("Cozy Bear").

Especialistas de diversas empresas de segurança também acreditam, com variados níveis de certeza, que esses grupos de hackers são patrocinados pelo governo russo. O grupo "Cozy Bear" é considerado o responsável pela invasão que levou ao vazamento de dados do Partido Democrata durante as eleições americanas de 2016. O "Fancy Bear" é tido como o autor de ataques contra a Agência Mundial Antidoping (WADA) quando a mesma investigava um escândalo de doping russo.

SAIBA MAIS
Hackers atacaram atleta que denunciou doping russo, diz agência
Ucrânia tem segundo apagão elétrico causado por hackers

O governo russo sempre negou todas as acusações. Esta acusação mais recente, feita pelo Reino Unido e pelos EUA, foi taxada de "russofóbica" pelas autoridades de Moscou, segundo a "BBC".

Em um comunicado publicado no site oficial do Ministério de Assuntos Exteriores, o Reino Unido afirmou que o ataque atribuído à Rússia "despreza a soberania ucraniana" e que o vírus, ao se espalhar pela Europa e atingir diversas organizações, causou "centenas de milhões de libras" de prejuízo.




Mensagens de resgate dos vírus NotPetya (superior) e Petya 'GoldenEye' (inferior). Para supostamente ter arquivos de volta, NotPetya aceitava comunicação por e-mail, que logo foi desativado após a propagação do vírus. Vírus original usava site dentro da rede Tor, resistente à censura. Alteração é indício de que o código não foi criado com a intenção de permitir o resgate dos arquios. (Foto: Reprodução)

Ataque 'mascarado'

O NotPetya chamou atenção por funcionar exatamente como um vírus de regaste. Inicialmente, o vírus foi confundindo com o vírus Petya, mas analistas de empresas antivírus depois concluíram que se tratava de um vírus diferente, dando a ele o nome de "NotPetya" (Não-Petya) e "ExPetr" ("Ex-Petya").

Diferente de um vírus de resgate comum -- que tem como foco obter pagamentos de resgate para devolver os arquivos criptografados --, o NotPetya dava pouca ênfase à possibilidade de pagamento e recuperação de dados. Uma das principais rotinas do vírus tinha um erro de programação que impedia totalmente a recuperação dos arquivos. Especialistas concluíram que o programa era um "wiper" -- nome dado às pragas digitais que apagam dados e programas para deixar o sistema atacado inoperante.

"O ataque se mascarava de uma atividade criminosa, mas sua finalidade era primariamente destrutiva. Os alvos principais foram os setores de finanças, energia e governamental da Ucrânia. A programação indiscriminada fez com que ele se disseminasse, afetando outras empresas europeias e russas", diz o comunicado do Reino Unido, em linha com a análise dos especialistas.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O Google, a empresa de segurança Cyberus Technologies e outros especialistas liberaram detalhes técnicos sobre o que se sabe das falhas Meltdown e Spectre. As brechas, inicialmente noticiadas como um problema exclusivo dos processadores da Intel, na verdade atingem parcialmente também produtos de outras marcas, como AMD, e possivelmente celulares, mas ainda faltam experimentos para determinar o nível de vulnerabilidade de cada chip.

As falhas Meltdown e Spectre ambas residem no mesmo recurso, o de execução especulativa. Usando uma dessas falhas, é possível violar (de modo bastante indireto) o isolamento que o próprio processador do computador impõe para cada aplicativo e que impede que um software interfira na memória de outro.

Embora tenham a mesma base, as duas falhas têm impactos diferentes e o método de exploração também varia, dependendo até do modelo do processador. Acredita-se que a falha Meltdown, a mais grave, seja realmente exclusiva de processadores Intel. A Spectre, embora exista em outros chips, também é mais fácil de ser explorada em chips da Intel.

Como a Intel é líder do mercado em computadores, especialmente em servidores e notebooks, a falha tem alcance quase universal. Estima-se que todos os chips produzidos pela Intel desde 1995 sofram do problema, com exceção de modelos Itanium e Atom produzidos até 2013.




Imagens das falhas Meltdown (o escudo derretendo) e Spectre. O fantasma, segundo os especialistas, é uma referência ao fato de que a falha vai nos 'assombrar por muitos anos'. (Foto: Natascha Eibl/Domínio Público)

Quem deve ter cuidado?

Embora a falha viole um dos pilares da segurança dos computadores e tenha alcance geral, o impacto é relativamente baixo e a exploração é complicada. Criminosos comuns provavelmente não terão muito interesse em explorar a brecha em ataques rotineiros, mas sistemas empresariais que dependem muito das barreiras de segurança da virtualização ou que tenham dados muito sensíveis podem fazer valer o esforço dos invasores.

Empresas como Google, Microsoft e Amazon confiam nessas barreiras para alugar acesso total (mas isolado) a computadores virtualizados, o que permite que vários clientes usem o mesmo hardware físico de forma isolada e segura, como se cada um tivesse seu próprio computador. Se a brecha for levada com sucesso às últimas consequências, hackers poderão quebrar a barreira dessa virtualização e causar prejuízo a outros clientes ou ler informações sem autorização.

Isso deve obrigar as empresas e prestadores de serviços de computação em nuvem a aplicar correções que eliminem o problema pela raiz, sem recorrer a soluções menos invasivas que podem ser viáveis em aplicações menos críticas. Embora isso elimine o problema, o desempenho ficará reduzido.

O impacto no desempenho, porém, ainda não está claro. Simulações (que não representam necessariamente uso real) estimam que o impacto de desempenho em certas tarefas pode chegar a 30%. Simulações mais otimistas chegam a números menos alarmantes, como 5%. Mas mesmo um número "baixo" como esse não é irrelevante para os grandes provedores de serviços em nuvem.

UMA ANALOGIA PARA ENTENDER O PROBLEMA

Imagine que, em vez de números binários, o computador trabalhe apenas com caixas -- o que significa que todos os dados, imagens e arquivos podem ser representados com caixas. A única coisa que diferencia uma caixa de outra é se ela está vazia (0) ou cheia (1). Todos os programas solicitam que o processador armazene e busque "caixas" e olham se elas estão cheias ou vazias. Vez ou outra, o processador se adianta e busca uma caixa antes mesmo do programa fazer o pedido, com o intuito de agilizar a execução do software.

A falha ocorre quando um programa malicioso manipula o processador para buscar uma caixa que pertence a outro aplicativo. Em geral, isso é barrado. Mas, nos casos em que o processador se adianta e busca uma caixa antes de ela ser solicitada, a verificação da origem da caixa é dispensada temporariamente e a caixa é "jogada no lixo" (descartada) logo depois.

Mesmo nesse caso, nada foi aparentemente violado. O programa malicioso não pode ver a caixa e nem abrir o lixo. Por isso, não parece existir uma falha de segurança nesse procedimento.

O que se sabe agora é que o programa malicioso é capaz de verificar o peso da lixeira: se está leve, é porque a caixa era vazia. Do contrário, a caixa está cheia. Repetindo esse processo até buscar todas as caixas que pertencem a outro programa, uma a uma, o ataque permite ler o conteúdo da memória.

EXPLICAÇÃO TÉCNICA
Execução especulativa

A execução especulativa é uma técnica de otimização usada em processadores modernos que acelera o desempenho dos computadores, permitindo que certos comandos sejam executados antes mesmo de o processador determinar se eles serão necessários. Com isso, o computador pode utilizar sua capacidade ociosa para se "adiantar" nas tarefas.

No entanto, em muitos casos, o processador "se adianta" quando não deveria. Nesses casos, o processador descarta o que foi executado. Quando isso ocorre, o processador não se dá o trabalho de verificar se uma leitura de memória é segura ou não -- afinal, se ela for insegura, a leitura será descartada mais tarde e o programa não terá qualquer acesso indevido, mantendo o isolamento.

O que os pesquisadores descobriram é que, mesmo após esse descarte, é possível analisar detalhes da execução do programa -- mais especificamente, o tempo de uma operação -- para determinar o conteúdo da memória lida indevidamente. O culpado disso é o cache.

"Cache"

Processadores armazenam certas operações em uma memória ultrarrápida, o cache. Se uma operação está nesse cache, ela será mais rápida do que outra operação que não está em cache, mesmo que o resultado da operação seja um erro.

Os ataques Meltdown e Spectre manipulam o processador para que a execução especulativa (que leu uma memória indevida) deixe rastros no cache que indiquem o conteúdo da memória lida. O acesso é indireto -- o cache não contém a memória lida. É apenas a velocidade da operação -- ela estar ou não em cache -- que serve de indício.

A manipulação feita pelo programa garante, que, entre duas operações, apenas uma estará em cache após a execução especulativa. Como os computadores trabalham com números binários (0 e 1), determinar qual das duas operações estava em cache também determina o conteúdo do bit de memória.

Como revela um bit por vez, o processo precisa ser repetido várias vezes para ler uma quantia significativa de memória e a velocidade é centenas de milhares de vezes mais lenta do que a leitura normal (1,5 KB a 2 KB por segundo). No entanto, esses são resultados preliminares obtidos pelos pesquisadores -- existe a possibilidade de que novos ataques sejam mais otimizados.

MELTDOWN X SPECTRE

A principal diferença entre as falhas Meltdown e Spectre (além de a Meltdown ser exclusiva da Intel) é o tipo de memória que pode ser lida. Enquanto a Spectre permite a leitura da memória de outros programas, a Meltdown permite a leitura da memória do kernel -- o "coração" do sistema operacional.

Embora o kernel em geral não tenha informações muito úteis em si mesmas (praticamente todas as informações pessoais ou dados ficam na memória usada pelos aplicativos), o kernel pode conter dados técnicos relevantes para a exploração de outras brechas. Além disso, quem pode ler a memória do kernel pode na prática ler qualquer outra memória do computador, o que garante um acesso mais abrangente.

A falha Meltdown é considerada mais fácil de explorar na prática, mas também mais fácil de corrigir. A brecha Spectre é bastante difícil de explorar, mas também mais difícil de corrigir e é provável que diversos programas tenham que ser atualizados individualmente para minimizar o impacto da Spectre. No caso da Meltdown, as soluções devem vir do próprio sistema operacional.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Um servidor utilizado pelo aplicativo de iPhone CoinPouch, uma "carteira virtual" para várias criptomoedas, foi atacado e os invasores levaram US$ 750 mil (cerca de R$ 2,4 milhões) em valores da moeda Verge. O suporte à moeda Verge foi adicionado ao aplicativo em agosto e, desde o ataque, está indisponível.

Muitos usuários estão reclamando nas redes sociais e pedindo o dinheiro de volta. A CoinPouch era recomendada pelos criadores da moeda Verge e é um aplicativo autorizado pela Apple, distribuído no iTunes App Store. Os responsáveis pelo software, porém, afirmam que não houve problema no aplicativo, mas apenas em um servidor usado para fazer a intermediação dos usuários do CoinPouch com a moeda Verge.

SAIBA MAIS
Ataque hacker desvia US$ 30 milhões de criptomoeda Tether
Falha congela moedas virtuais do Ethereum; valor paralisado pode chegar a US$ 280 milhões




Moeda Verge não aparece mais entre as suportadas pela carteira virtual CoinPouch para iOS. (Foto: Reprodução)

Os programadores do aplicativo ainda não fornecerem nenhuma hipótese sobre como o roubo aconteceu e dizem não saber o que houve. Em um comunicado "publicado" no Dropbox, eles afirmaram que estão em contato com o provedor onde o servidor intermediário estava localizado para preservar a máquina e realizar uma perícia para identificar o que aconteceu.

Ainda de acordo com o mesmo comunicado, o servidor foi colocado no ar com a ajuda de Justin, um dos desenvolvedores da Verge.

Segundo o site Cryptovest, porém, Justin culpa a CoinPouch pelo ocorrido, justificando que seu envolvimento foi mínimo. Segundo ele, é possível que o servidor intermediário não autenticava as comunicações com o aplicativo, de modo que qualquer um podia emitir comandos para fazer transferências em nome dos usuários. A única "segurança" era o sigilo do endereço do servidor, que podia ser descoberto por quem analisasse o aplicativo.

Justin mostrou uma conversa com um desenvolvedores do CoinPouch, que parou de responder quando Justin questionou se o canal de comunicação do aplicativo com o servidor tinha autenticação.

Um endereço de carteira fornecido pela CoinPouch, que supostamente pertenceria ao hacker, também pode não estar associado à invasão. Em um fórum on-line, um usuário se manifestou dizendo que a carteira é dele e que as moedas foram adquiridas na Bittrex, uma casa de câmbio que opera com a moeda Verge. Se isso for verdade, isso significa que as moedas já foram vendidas e dificilmente poderão ser recuperadas.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Um ataque de hackers desviou 30.950.010 dos chamados "tokens" da criptomoeda Tether. A Tether se diferencia por não usar câmbio flutuante, e cada token pode ser trocado por um dólar, o que significa que o valor em dólares desviado é a mesma quantia de US$ 30.950.010. Também diferente de outras criptomoedas, a Tether tem gestão centralizada, e a empresa afirmou que não vai honrar pagamentos ou saques envolvendo os tokens roubados.

Tokens funcionam da mesma forma que as criptomoedas em si, com o diferencial que eles representam um outro valor e, normalmente, têm um emissor, que é capaz de controla-lo. No caso do Tether, os tokens representam dólares ("tokens de USD", ou USDT). Ao manter o valor do token fixo -- diferente de outras criptomoedas e tokens, cujo valor flutua --, o Tether pretende facilitar a integração da criptomoeda com o comércio.

A empresa afirma ter contratado uma empresa de auditoria e que a empresa tem condições financeiras para trocar cada token pelo seu papel-moeda norte-americano, mas não divulga o nome das instituições financeiras com qual trabalha, alegando que há risco de retaliação. A companhia diz que o ataque aos seus sistemas -- que foram seguidos por uma lentidão no processamento de saques e transferências -- foram parte de um "evento planejado e premedito" para causar turbulência no mercado e atacar "nosso negócio, nossos clientes e nossa comunidade".

Os tokens foram desviados da conta da própria Tether e transmitidos para um endereço de Bitcoin, o que significa que clientes não foram diretamente impactados pelo problema -- o prejuízo ocorreria caso os hackers tivessem sacado os valores para dólares e deixado a empresa sem fundos. É por isso que a Tether reforçou o posicionamento de que tem recursos para arcar com todas as tokens.

A empresa divulgou o endereço usado pelos hackers e alertou que não vai honrar transferências ou saques para dólar de moedas que tiveram passagem pelo endereço usado no roubo. Usuários do Tether não devem receber os tokens que passaram nas mãos dos criminosos.

A empresa disse que já transferiu seus sistemas para uma nova infraestrutura para impedir novos ataques.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O governo dos Estados Unidos liberou um documento que revela a existência do Vulnerabilities Equities Process (VEP), um procedimento que define se uma vulnerabilidade descoberta por um funcionário do governo será informada ao fabricante do software ou será mantida em sigilo para ser usada para fins de segurança nacional e investigações policiais.

Especialistas em segurança especulavam que o governo dos Estados Unidos mantinha diversas vulnerabilidades em segredo. Isso se mostrou verdadeiro com os vazamentos de Edward Snowden, referentes à Agência Central de Inteligência (CIA) e, mais recente, com os vazamentos do grupo "Shadow Brokers", cujo conteúdo é atribuído à Agência de Segurança Nacional (NSA).

O vírus WannaCry, que atingiu centenas de milhares de computadores no mundo todo, foi criado a partir de uma vulnerabilidade divulgada pelo Shadow Brokers, que pertenceria à NSA, e que até então era mantida em sigilo pelo governo norte-americano.

O processo do VEP consiste em um conselho deliberativo formado por representantes de 10 órgãos do governo, desde o Departamento de Defesa até o Departamento do Tesouro e o Departamento do Comércio. O conselho se reúne mensalmente para decidir o que será feito com cada vulnerabilidade. É possível agendar reuniões extraordinárias, se necessário.

Falhas que estão restritas para uso secreto do governo precisam ser reavaliadas anualmente para que seja decidido se elas continuarão restritas ou não.

O documento justifica a postura do governo de manter certas vulnerabilidades em sigilo argumentando que "o governo não criou essas vulnerabilidades" e que, mesmo que todas as falhas descobertas pelos Estados Unidos sejam comunicadas aos fabricantes, ainda haverá brechas que serão exploradas por outras entidades.

Embora o governo argumente que "não criou as vulnerabilidades", há evidências de que a NSA teria se envolvido ativamente para padronizar uma fórmula de segurança "envenenada", ou seja, que continha uma fragilidade intencional para facilitar o trabalho de espiões.

O documento também afirma que o "saldo" pode ser positivo. "Às vezes, a inteligência e as evidências descobertas por meio do uso da exploração ponderada de uma vulnerabilidade são o único meio de compreender uma ameaça muito maior. Muitas vezes, assumir um risco calculado de restringir o conhecimento de uma vulnerabilidade é o único meio de descobrir intrusos significativas que estão comprometendo a segurança e a privacidade", diz o texto.

O processo do VEP existe pelo menos desde a administração do ex-presidente Barack Obama, mas é a primeira vez que o governo explica o processo e quem pode se manifestar a respeito das falhas. O documento pode ser baixado no site da Casa Branca (aqui, PDF, em inglês).

(Foto: Larry Downing/Reuters)

'Meio indireto'
Em um trecho, o documento admite que o governo norte-americano pode optar por avisar o fabricante de um software da vulnerabilidade por um "meio indireto". O documento não especifica, em nenhum momento, quais seriam esses meios.

Esse "meio indireto" poderia explicar como a Microsoft aparentemente ficou sabendo da falha do WannaCry dois meses antes do vírus ser disseminado. A empresa nega que tenha sido contada por algum agente do governo norte-americano sobre a vulnerabilidade.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]