O estado russo O Hacker Group, conhecido como Turla, realizou alguns dos feitos mais inovadores de hackers da história da ciberespionagem, escondendo as comunicações de seus malware em conexões de satélite ou seqüestrando as operações de outros hackers para encobrir sua própria extração de dados. Quando eles estão operando em seu território doméstico, no entanto, eles tentaram uma abordagem igualmente notável, se mais direta: eles parecem ter usado o controle dos provedores de serviços de Web da Rússia para plantar diretamente spyware and adware nos computadores de seus alvos em Moscou.
A equipe de pesquisa de segurança da Microsoft se concentrou em hackear ameaças hoje publicou um relatório detalhando uma nova técnica de espião insidiosa usada por Turla, que se acredita fazer parte da agência de inteligência FSB do Kremlin. O grupo, que também é conhecido como Snake, Venomous Bear ou Nome da Microsoft, Secret Blizzard, parece ter usado seu acesso sancionado pelo Estado aos ISPs russos para se intrometer no tráfego da Web e truques que trabalham em embaixadas estrangeiras que operam em Moscou para instalar o software program malicioso do grupo em seus PCs. Esse spyware and adware desativou a criptografia nas máquinas dessas metas para que os dados que transmitissem na Web permanecessem sem criptografia, deixando suas comunicações e credenciais como nomes de usuário e senhas inteiramente vulneráveis à vigilância por esses mesmos ISPs – e qualquer agência de vigilância do estado com a qual cooperam.
Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft, diz que a técnica representa uma rara mistura de hackers direcionados para a espionagem e a abordagem mais antiga e passiva dos governos à vigilância em massa, na qual as agências de espionagem coleam e analisam os dados de ISPs e telecomunicações para surveir metas. “Isso entende a fronteira entre vigilância passiva e intrusão actual”, diz Degrippo.
Para esse grupo em specific de hackers do FSB, acrescenta Degrippo, também sugere uma nova arma poderosa em seu arsenal para atingir qualquer pessoa dentro das fronteiras da Rússia. “Isso potencialmente mostra como eles pensam da infraestrutura de telecomunicações da Rússia como parte de seu equipment de ferramentas”, diz ela.
De acordo com os pesquisadores da Microsoft, a técnica de Turla explora uma determinada solicitação da internet que faz quando encontram um “portal cativo”, as janelas mais comumente usadas para guardar o acesso à Web em ambientes como aeroportos, aviões ou cafés, mas também dentro de algumas empresas e agências governamentais. No Home windows, esses portais em cativeiro chegam a um determinado website da Microsoft para verificar se o computador do usuário está de fato on-line. (Não está claro se os portais em cativeiro usados para invadir as vítimas de Turla eram de fato legítimos usados rotineiramente pelas embaixadas de destino ou por Turla de alguma forma impostas aos usuários como parte de sua técnica de hackers.)
Ao aproveitar o controle dos ISPs que conectam certos funcionários da embaixada estrangeira à Web, Turla conseguiu redirecionar metas para que eles viram uma mensagem de erro que os levou a baixar uma atualização para os certificados criptográficos do navegador antes que eles pudessem acessar a Net. Quando um usuário desavisado concordou, eles instalaram um pedaço de malware que a Microsoft chama de Apoloshadow, que é disfarçada – um pouco inexplicavelmente – como uma atualização de segurança do Kaspersky.
Esse malware da Apolshadow desativaria essencialmente a criptografia do navegador, retirando silenciosamente as proteções criptográficas para todos os dados da Net que o computador transmite e recebe. É provável que a violação de certificado relativamente simples fosse mais difícil de detectar do que um pedaço de spyware and adware completo, diz DeGrippo, enquanto alcançava o mesmo resultado.
