fbpx
- Advertisment -
Inicio Finanças Pesquisadores apontam semelhanças técnicas entre programa espião da SolarWinds e grupo 'Turla'

Pesquisadores apontam semelhanças técnicas entre programa espião da SolarWinds e grupo ‘Turla’

-

1 de 1
Especialistas começam a encontrar semelhanças entre ataque à SolarWinds e outros ataques anteriores, mas temem operação de ‘bandeira falsa’. — Foto: Alfred Muller/Pixabay

Especialistas começam a encontrar semelhanças entre ataque à SolarWinds e outros ataques anteriores, mas temem operação de ‘bandeira falsa’. — Foto: Alfred Muller/Pixabay

O ataque hacker contra a SolarWinds, que se espalhou para várias empresas e repartições governamentais por meio de uma atualização de software adulterada, ganhou novos capítulos com a descoberta de semelhanças técnicas que podem vincular o ataque ao grupo conhecido como “Turla”.

E agora, especialistas também estão investigando uma página na web lançada vender alguns dos dados que teriam sido roubados na operação, inclusive códigos-fonte da Microsoft. A venda dos fatos, se comprovada, também pode trazer pistas sobre a identidade dos responsáveis.

Além da Microsoft, o site oferece códigos-fonte da Cisco e da própria SolarWinds, que teriam sido comprometidas no ataque.

Não se sabe se as informações são legítimas, mas os responsáveis pelo site estão pedindo US$ 1 milhão (cerca de R$ 5,3 milhões) por todos os pacotes de dados. O preço avulso é maior: o pacote da Microsoft, o mais caro, sai por US$ 600 mil.

Informações do governo norte-americano, que foi um dos grandes alvos dos hackers, não estão à venda no site. O governo dos Estados Unidos admitiu recentemente que 3% de todas as contas de e-mail do Departamento de Justiça foram comprometidas pelos hackers, por exemplo.

Não seria a primeira vez que um grupo de ciberespiões tenta vender arquivos e programas obtidos em alguma invasão.

Em 2016, um grupo de hackers conhecido que usava o nome de “Shadow Brokers” tentou leiloar ferramentas de ataque roubadas do governo norte-americano. Acredita-se que eles eram associados ao governo russo, embora esta hipótese seja especulativa.

Mas há outros paralelos entre a atuação dos hackers da SolarWinds e grupos associados à Rússia.

As semelhanças técnicas identificadas por uma pesquisa da fabricante de antivírus Kaspersky indica uma possível relação entre o “Solarburst” e o “Kazuar”.

“Solarburst” é o nome que especialistas deram para um dos códigos de espionagem usados na sequência de invasões decorrentes do ataque à SolarWinds, enquanto o “Kazuar” é um programa usado pelos hackers do grupo Turla, associado à Rússia e conhecido há mais de cinco anos.

Autoridades americanas já admitiram trabalhar com a hipótese de que os ataques foram uma “operação de inteligência” de “origem Russa”. O Turla se encaixaria nesta descrição, mas sua atuação é separada de outros grupos vinculados às agências de inteligência da Rússia, como o “Cozy Bear” e o “Fancy Bear”.

Citando fontes anônimas, o jornal “Washington Post” apontou o “Cozy Bear” como provável responsável pelo ataque. Este grupo é vinculado à SVR, uma agência de inteligência do governo russo. Mas não está claro se existe um elo entre o Cozy Bear e o Turla para além da origem desses grupos.

Entenda as semelhanças técnicas

A Kaspersky encontrou três semelhanças relevantes entre o Sunburst e o Kazuar:

  1. Algoritmos parecidos para calcular o tempo de ociosidade. Em códigos de espionagem, não é incomum que hackers programem um “período de hibernação”. Retardando suas ações, o programa evita chamar a atenção em momentos inoportunos. De acordo com a Kaspersky, os dois programas fazem isso de forma comparável;
  2. Os dois códigos optam por usar uma versão modificada de um algoritmo de “hashing” (resumo matemático) chamado FNV-1a. A modificação é idêntica e baseada em um número constante, que é diferente em cada programa. A finalidade também é distinta. Mas a escolha da mesma função de cálculo, com modificações de natureza idêntica, é suspeita;
  3. Há semelhanças no método utilizado para calcular o “identificador de vítima”

Segundo a empresa antivírus, não é possível tirar nenhuma conclusão a partir destes dados. “O aprofundamento das pesquisas neste tópico é fundamental para conectar os pontos”, diz a nota técnica da Kaspersky.

A companhia também levantou a possibilidade de uma tentativa de operação de “bandeira falsa”, que ocorre quando um grupo adota técnicas de outro para tentar incriminá-lo.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Dicas para preservar seus dados online

5 dicas de segurança para sua vida digital

5 dicas de segurança para sua vida digital

Vídeos sobre SEGURANÇA DIGITAL

Últimos Posts

Super-ricos recuperam perdas econômicas provocadas pela pandemia, diz Oxfam

Os super-ricos já recuperam as perdas econômicas provocadas pela pandemia de coronavírus, de acordo com o...

Cerca de 500 funcionários da Airbus ficam em quarentena após o surto de Covid-19 em Hamburgo

Airbus A380, da Air France, decolando do aeroporto de...

Combustível de iodo pode reduzir lixo espacial com "suicídio de satélites"

Não conseguimos ver daqui, mas há muito lixo espacial na órbita...

EUA superam 25 milhões de casos de Covid-19, apontam dados da Johns Hopkins

Painel de monitoramento da Universidade Johns Hopkins em 24...
- Advertisement -

Seu Facebook deslogou sozinho? Rede diz que foi “mudança de configuração”

Usuários do Facebook relataram (em outras redes sociais, óbvio) que tinham sido deslogados da rede sem motivo aparente na...

Leitura Obrigatoria

- Advertisement -
- Advertisement -

Você também pode gostar dissoRelacionado
Recomendado para você