O estado russo Hacker Group conhecido como Turla realizou alguns dos feitos mais inovadores de hackers da história da ciberespionagem, escondendo as comunicações de seus malware em conexões de satélite ou Operações de outros hackers para encobrir sua própria extração de dados. Quando eles estão operando em seu território doméstico, no entanto, eles tentaram uma abordagem igualmente notável, se mais direta: eles parecem ter usado o controle dos provedores de serviços de Internet da Rússia para plantar diretamente spyware nos computadores de seus alvos em Moscou.
Uma equipe de pesquisa de segurança da Microsoft se concentrou em hackear ameaças hoje publicou um relatório Detalhando uma nova técnica de espião insidiosa usada por Turla, que se acredita fazer parte da Agência de Inteligência FSB do Kremlin. O grupo, que também é conhecido como Snake, Venomous Bear ou Nome da Microsoft, Secret Blizzard, parece ter usado seu acesso sancionado pelo Estado aos ISPs russos para se intrometer no tráfego da Internet e truques que trabalham em embaixadas estrangeiras que operam em Moscou para instalar o software malicioso do grupo em seus PCs. Esse spyware desativou a criptografia nas máquinas dessas metas para que os dados que transmitissem na Internet permanecessem sem criptografia, deixando suas comunicações e credenciais como nomes de usuário e senhas inteiramente vulneráveis à vigilância por esses mesmos ISPs – e qualquer agência de vigilância do estado com a qual cooperam.
Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft, diz que a técnica representa uma rara mistura de hackers direcionados para a espionagem e a abordagem mais antiga e passiva dos governos à vigilância em massa, na qual as agências de espionagem coleam e analisam os dados de ISPs e telecomunicações para surveir metas. “Isso entende a fronteira entre vigilância passiva e intrusão real”, diz Degrippo.
Para esse grupo em particular de hackers do FSB, acrescenta Degrippo, também sugere uma nova arma poderosa em seu arsenal para atingir qualquer pessoa dentro das fronteiras da Rússia. “Isso potencialmente mostra como eles pensam da infraestrutura de telecomunicações da Rússia como parte de seu kit de ferramentas”, diz ela.
De acordo com os pesquisadores da Microsoft, a técnica de Turla explora uma determinada solicitação da web que faz quando encontram um “portal cativo”, as janelas mais comumente usadas para guardar o acesso à Internet em ambientes como aeroportos, aviões ou cafés, mas também dentro de algumas empresas e agências governamentais. No Windows, esses portais em cativeiro chegam a um determinado site da Microsoft para verificar se o computador do usuário está de fato online. (Não está claro se os portais em cativeiro usados para invadir as vÃtimas de Turla eram de fato legÃtimos usados rotineiramente pelas embaixadas de destino ou por Turla de alguma forma impostas aos usuários como parte de sua técnica de hackers.)
Ao aproveitar o controle dos ISPs que conectam certos funcionários da embaixada estrangeira à Internet, Turla conseguiu redirecionar metas para que eles viram uma mensagem de erro que os levou a baixar uma atualização para os certificados criptográficos do navegador antes que eles pudessem acessar a Web. Quando um usuário desavisado concordou, eles instalaram um pedaço de malware que a Microsoft chama de Apoloshadow, que é disfarçada – um pouco inexplicavelmente – como uma atualização de segurança do Kaspersky.
Esse malware da Apolshadow desativaria essencialmente a criptografia do navegador, retirando silenciosamente as proteções criptográficas para todos os dados da Web que o computador transmite e recebe. É provável que a violação de certificado relativamente simples fosse mais difÃcil de detectar do que um pedaço de spyware completo, diz DeGrippo, enquanto alcançava o mesmo resultado.
