O hacker típico invadiria companhias com pouca segurança para roubar números de cartões de crédito e documentos para vendê-los no mercado negro, mas não estes novos hackers.

As motivações de uma nova geração de hackers não está mais em roubar senhas de acesso de usuários ou números de cartões de crédito — e isso pode ser bom para nós, meros mortais, mas é um novo pesadelo para grandes companhias, já que os hackers agora se interessam muito mais em roubar propriedade intelectual e informações sigilosas para vendê-las a concorrentes.

Segundo relatório da Symantec, a empresa de segurança digital, um grupo conhecido como Morpho iniciou as atividades atacando empresas de advocacia, roubando informações de casos, mas hoje invade empresas de tecnologia, farmacêuticas e, mais recentemente, commodities, em busca de informações de  propriedades intelectuais.

O grupo consegue invadir empresas ao se aproveitar de vulnerabilidades 0-day, falhas recentes ainda não identificadas e sem soluções. O objetivo do grupo é muito simples: lucrar com a venda de informações secretas e sigilosas. De acordo com informações do New York Times, acredita-se que o Morpho está ativo desde 2013, totalizando ataques a 20 diferentes países e 49 diferentes empresas, que incluem Microsoft, Apple, Facebook e Twitter.

Em 2013, o Twitter sofreu um ataque que culminou na divulgação das senhas de acesso de mais de 250.000 usuários. Na época, a rede social afirmou que este foi um trabalho de profissionais, não meros amadores. Nas semanas seguintes a esse ataque, Facebook, Apple e Microsoft sofreram invasões parecidas, que faziam uso de uma falha de segurança no Java. Segundo o relatório da Symantec, todos estes quatro ataques de 2013 foram orquestrados pelo Morpho.

Os pesquisadores da Symantec determinaram que, em alguns casos, o Morpho roubou emails, documentos legais, transações bancárias, descrições de produto e treinamentos — segundo o relatório, em um caso específico, o grupo pode até mesmo desligar um sistema físico que monitora a movimentação de empregados e visitantes em prédios corporativos. “Depois de comprometer o sistema, os hackers podem ter monitorado empregados pelo sistema de câmeras da empresa e monitorar as atividades de indivíduos dentro do prédio”, diz o relatório.

A Karpesky Lab, outra empresa de segurança digital, vai além, afirmando no próprio relatório sobre o caso que o grupo está ativo desde 2011, e além da falha no Java, tem usado certificados da Acer Incorporated para invadir sistemas operacionais modernos. De acordo com informações do site Ars Technica, a Kaspersky Lab acredita que os responsáveis pelos ataques estão ligados a espionagem, possivelmente por questões econômicas.

Virtualmente invisíveis

Vikram Thakur, gerente sênior da equipe de investigação de ataques na Symantec, disse ao New York Times, que o grupo é “virtualmente impossível de rastrear”, explicando que eles são cuidadosos o bastante para limpar cada passo que dão, deixando poucos rastros dos ataques. Um exemplo disso são os servidores usados pelo Morpho: sempre alugados com Bitcoins, a moeda anônima da internet. “Eles são muito, muito bons”, diz Thakur.

Os ataques não parecem ser orquestrados por algum país específico, uma vez que eles já invadiram empresas de mais de 20 países, mas pesquisadores da Symantec acreditam que os responsáveis falam inglês — os códigos usados pelos hackers foram escritos todos em inglês fluente e muitas chaves de criptografia receberam nomes baseados em memes de jogos e da cultura pop americana.

Além disso, os pesquisadores determinaram que os ataques ocorreram no fuso horário americano — o que não quer dizer muita coisa para o horário de trabalho dos hackers, mas é o horário em que os alvos americanos estão mais ativos. [NYT, Ars Technica]

Foto de capa: Brian Klug/Flickr