Um novo grupo de ciberespionagem foi detectado invadindo computadores de organizações e entidades do governo da América do Sul e sudeste da Ásia. Entre os países alvos estão Argentina, Brasil, Equador, Peru, Brunei e Malásia.
A Symantec, empresa de segurança da informação que detectou as atividades suspeitas, não nomeia os alvos infectados pelo grupo, mas diz que ele foca especialmente em instituições de política externa e alvos diplomáticos, “hospedando arquivos de espionagem clássicos capazes de roubar documentos das organizações nas quais se infiltra”, disse a companhia em um comunicado.
A primeira evidência relacionada ao Sowbug é um malware chamado Felismus que foi usado em um alvo no Sudeste Asiático em março deste ano. Outras vítimas no restante do mundo foram identificas após esse primeiro episódio.
“O grupo possui recursos suficientes para infiltrar múltiplos alvos simultaneamente”, afirma a Symantec. A empresa explica ainda que o grupo Sowbug “opera fora do horário de trabalho das organizações direcionadas para se manter imperceptível”.
Imagem: Symantec
Busca específica
Em 2015, um ataque a um ministério das Relações Exteriores da América do Sul mostrou que o grupo Sowbug buscava por informações muito especificas.
Eles tentaram extrair todos os documentos em Word de um servidor do ministério que foram alterados a parir de 11 de maio de 2015, ou seja, o grupo sabia bem o que queria. Horas após a invasão, o grupo voltou a atacar o local, agora buscando por arquivos a partir do dia 7 de maio de 2015.
“Isto indica que eles não encontraram o que estavam procurando na incursão inicial, ou então notaram algo nos documentos que roubaram anteriormente que os levou a buscar mais informações”, explica a Symantec. O grupo se manteve no servidor do ministério de maio a setembro de 2015.
Enganando o alvo
Ainda não se sabe como o grupo consegue acessar a rede dos alvos. A Symantec explica que, em alguns casos, não havia nenhum rastro de como o Felismus abriu caminho em computadores corrompidos, o que significa que provavelmente foi implantado a partir de outros computadores danificados na rede.
Sabe-se, no entanto, como ele engana usuários a instalar as ferramentas que precisam: simulando softwares conhecidos, como Windows ou Adobe Reader.
“O grupo nunca tentou violar o próprio software”, diz o comunicado. “Ao invés disso, nomeia suas ferramentas com nomes de arquivos semelhantes aos usados pelo software e os coloca em árvores de diretórios que podem ser confundidas com as usadas pelo software legítimo”.
Em um dos alvos na Ásia, o Sowbug instalou o backdoor Felismus em um computador usando o nome do arquivo: adobecms.exe em CSIDL_WINDOWS \ debug. Disso, instalou componentes e ferramentas adicionais em um diretório chamado CSIDL_APPDATA \ microsoft \ security.
Como a aparência e o local de instalação do software não levanta suspeitas, o grupo consegue se manter invisível por longos períodos nos computadores infectados. Neste caso específico, eles se mantiveram por seis meses na rede invadida.
Uma das possibilidades que a Symantec avalia é a que os invasores usaram falsas atualizações de softwares para instalar os arquivos. Malwares utilizados pelo grupo foram encontrados renomeados de AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE, entre outros.
A empresa lembra que países sul-americanos não costumam ser alvos de ciberataques, no entanto, “o surgimento do Sowbug é um lembrete de que nenhuma região é imune a este tipo de ameaça”.