Symantec identifica ciberataques em 16 países com malware da CIA

Aos poucos empresas de segurança e de equipamentos de rede vão obtendo mais detalhes sobre o uso de malware financiados pela CIA para espionagem eletrônica. Nesta segunda, 10/4, a empresa americana de software de segurança Symantec publicou ter identificado ataques com essas ferramentas em pelo menos 16 países. 

Segundo a Symantec, os ataques usaram ferramentas descritas nas denúncias do Wikileaks conhecidas como ‘Cofre 7’. A empresa associou esses ciberataques com um grupo de hackers que chama de Longhorn, que atuaria frequentemente desde 2011 – embora possivelmente desde 2007. 

“As ferramentas usadas pelo Longhorn seguem de perto o desenvolvimento e as especificações técnicas reveladas pelo Wikileaks. O grupo Longhorn compartilha alguns dos mesmos protocolos criptográficos especificados nos documentos do ‘Cofre 7’, além de seguir táticas ali descritas para evitar detecção. Dada as similaridades entre as ferramentas e técnicas, há pouca dúvida de que as atividades do Longhorn e os documentos do ‘Cofre 7’ são trabalho do mesmo grupo”, diz a Symantec em seu blog. 

Segundo a Symantec, esse grupo usou vários Trojans de backdoors e vulnerabilidades ‘zero day’ para atacar, tendo se infiltrado em governos e organizações multinacionais, além e alvos financeiros, operadoras de telecomunicações, empresas de energia, aeroespaciais, de tecnologia da informação, educação e recursos naturais. “Longhorn infectou 40 alvos em 16 países no Oriente Médio, Europa, Ásia e África”, diz a empresa, que também cita pelo menos um caso de infecção nos Estados Unidos. 

Os malware do Longhorn “parecem criados especificamente para operações de espionagem, com sistemas detalhados de impressões digitais, além de capacidades de descoberta e extração”. “Antes dos vazamentos do ‘Cofre 7’, a Symantec entendia o Longhorn como uma organização com recursos e envolvida em operações de coleta de inteligência. Essa análise era baseada na escala global de seus alvos e no acesso a um arco abrangente de malware e exploits de ‘dia zero’. O grupo parece atuar no padrão semanal de segunda a sexta, baseado em marcas temporaris e datas de registros de domínio, um comportamento que é consistente com grupos patrocinados por Estados.”