Há dois meses, informamos sobre o enorme problema de segurança informática que o Japão sofreu. O Centro Nacional de Preparação para Incidentes e Estratégia de segurança cibernética (NISC) do país não conseguiu controlar a tempo uma fuga de dados internos, um cenário que teve diversas implicações.
Mas o tempo ensinou-nos que nem mesmo os governos estão a salvo de ataques cibernéticos cada vez mais persistentes. De acordo com o Bleeping Computer, a equipe global de pesquisa e análise da Kaspersky identificou uma ameaça contínua que compromete a funcionalidade de unidades USB de segurança avançada com criptografia de software.
Quando um dispositivo com segurança avançada não consegue cumprir sua função
Há uma grande variedade de unidades USB com segurança avançada no mercado. Esses tipos de dispositivos de armazenamento são frequentemente amplamente utilizados por empresas e governos, principalmente quando possuem recursos de criptografia baseados em software. Mas, como tudo no mundo digital, eles não são 100% infalíveis.
A Kaspersky observa que um tipo específico de unidade USB criptografada por software, cuja marca e modelo não foram divulgados, tem sido alvo de grupos cibercriminosos sofisticados, possivelmente patrocinados pelo Estado, há anos. O resultado? O roubo de informações supostamente protegidas por senha.
As vítimas, segundo especialistas, foram entidades governamentais do Região pacífica da Ásia. Dada a sofisticação do ataque, tudo parece indicar que se tratava de esforços de espionagem altamente direccionados. Eles também apontam que o mesmo método pode ter sido usado para roubar dados financeiros.
Como foi possível comprometer uma unidade USB com criptografia de hardware? Vejamos alguns aspectos interessantes do método usado por agentes maliciosos. Os dispositivos de armazenamento em questão possuem uma parte criptografada e outra não criptografada, que possui o software responsável por descriptografar o conteúdo.
O ataque começa infectando o computador da vítima com uma carga chamada AcroShell que, através de um servidor de comando e controle, baixa componentes maliciosos adicionais que permitem identificar o tipo de pendrive usado pelo alvo. Mais tarde, um malware chamado XMKR entra em ação.
O XMKR compromete a segurança dos drives USB com base em informações anteriormente roubadas, afetando diretamente os arquivos da partição não criptografada, ou seja, os responsáveis por abrir a porta para os arquivos criptografados. Em todos os casos, o ataque é realizado no Windows e com outros módulos complexos.
Da Kaspersky apontam que os agentes maliciosos também recorrem a técnicas de virtualização para ocultar e proteger código malicioso de seus programas, tornando-os quase imperceptíveis pelos sistemas de segurança. Da mesma forma, métodos auto-replicantes para se propagar na rede de computadores da vítima.
Imagens: Brina Blum | Sebastião Chia
Em Xataka: O que é “formjacking” e como se proteger do roubo do CVV do cartão como aconteceu na Air Europa
Reescreva o texto para BR e mantenha a HTML tags