No começo do ano, um vírus devastador chamado Flame entrou em usinas de energia do Irã, causando estragos no sistema de software e levando o país a se desconectar da Internet. Agora a Kaspersky Labs diz que uma cópia do vírus está fazendo a mesma coisa com “pelo menos uma organização no setor de energia.”
Exceto que, desta vez, ele não vem de um governo.
Este novo vírus, algumas vezes já chamado de Chamoon, outras de Disttrack, contém um arquivo chamado Wiper, que o vírus Flame também tinha. Mas o arquivo Wiper do Shamoon não tem o mesmo código daquele do Flame, motivo pelo qual especialistas suspeitam que um copiador está por trás dele. A Kaspersky acredita que isso seja obra de script kiddies. O Shamoon, como o Flame, aparentemente coleta dados de qualquer máquina que ele infecta e, em seguida, apaga o disco. Mas ao levar as coisas a um passo adiante, o vírus sobrescreve todo o disco com um fragmento de um arquivo JPEG, tornando a recuperação de dados praticamente impossível.
A empresa de segurança Securalert acredita que a sua recente implementação foi um ataque em duas etapas orquestrado de dentro.
“O invasor tomou controle de uma máquina interna conectada diretamente à Internet e usou essa máquina como um proxy para um servidor Command-and-Control (C2) externo. Através do proxy, ele infectou outras máquinas internas que provavelmente não estavam conectadas à Internet.
Uma vez que a ação pretendida nas máquinas internas infectadas estava completa, o invasor executou o malware Shamoon, eliminando todas as evidências de outros softwares maliciosos ou roubando dados daquelas máquinas. Ele então entrou em contato com o C2 externo através do proxy.”
Ninguém veio a público para dizer em que usina específica o Shamoon lançou seu poder destrutivo, mas o Ars Technica aponta que a planta da Saudi Aramco foi vítima de um ataque semana passada, na Arábia Saudita. O que os especialistas sabem é que o Shamoon é sem dúvida parte de um ataque direcionado. O que eles não sabem é a quem. Ou por quê.
Identidade
Você provavelmente está familiarizado com o Flame; durante uma boa parte do ano, ele causou dores de cabeça às estações de energia iranianas. Alguns computadores enviam dados de segurança cruciais para os criadores do vírus (que, acredita-se, sejam agentes dos governos norte-americano e israelense). Outros tocam AC/DC no meio da noite. Completado o objetivo, um computador infectado pelo Flame se auto-destrói, sem deixar rastros da sua existência no disco.
Baseado nos mesmos princípios operacionais do Stuxnet (mas criado por uma entidade totalmente diferente), é quase certo que o Flame foi um ataque com motivações políticas, dada as tensões entre Irã, EUA e Israel.
O que é estranho sobre o Shamoon, porém, é que ele não parece estar coletando nenhuma informação sensível como o Flame, que interceptava senhas, documentos e qualquer coisa vital à operação das instalações iranianas. Em vez disso, a Symantech diz que o Shamoon só está preocupado em relatar os nomes dos aquivos que ele apaga, quantos arquivos ele apagou e o endereço IP dos computadores infectados. A destruição parece ser o objetivo principal:
“O componente Reporter é responsável por enviar informações da infecção de volta ao invasor. A informação é enviada usando requisições HTTP GET e estruturada da seguinte forma: http://[DOMÍNIO]/ajax_modal/modal/data.asp?mydata=[MYDATA]&uid=[UID]&state=[STATE]
Os seguintes dados são enviados:
[DOMÍNIO]: um nome de domínio
[MYDATA]: um número que especifica quantos arquivos foram sobrescritos
[UID]: o endereço IP do computador comprometido
[STATE]: um número aleatórioAmeaças com esse carregamento destrutivo são incomuns e atípicos em ataques direcionados.”
Talvez o invasor já saiba o que há na máquina (o que faria sentido se o ataque realmente se origina de dentro), mas isso ainda não explica a motivação para tamanho risco por parte de um script kiddie.
Se isso for um ataque não-político de um criador do caos sem filiações, será apenas o começo desse tipo de coisa? Uma leva de ataques não provocados a usinas de energia poderia ser devastador se executado apropriadamente. Mas como vimos com a temporada de ataques do Anonymous e o LulzSec ano passado, um evento como esse pode se transformar em uma bola de neve para algo mais importante. [Kaspersky, Symantech, Seculert via Ars Technica]