Friday, January 18, 2013

RBTH - Kaspersky Lab reveals international cyberspies


English
Português
Russia Beyond the Headlines
Rússia Além dos Títulos de Jornal
Kaspersky Lab reveals international cyberspies
Laboratório Kaspersky revela espiões cibernéticos internacionais
January 17, 2013 Alexander Panov, Combined report
17 de janeiro de 2013, Alexander Panov, reportagem conjunta

Além desta minha tradução, há versão em português na própria Gazeta Russa intitulada Fabricante de antivírus descobre rede de ciberespionagem  
Kaspersky Lab has identified an elusive cyber espionage network that targets diplomatic, governmental and scientific research organizations in several countries, a company statement revealed. The network has been christened Red October, and there is a chance that the malware may have its origins in a Russian-speaking country.
Kaspersky Lab vem de identificar elusiva rede de ciberespionagem assestada contra organizações diplomáticas, governamentais e de pesquisa científica em diversos países, revelou declaração da empresa. A rede foi batizada de Outubro Vermelho, e há possibilidade de o malware ter tido sua origem em país de língua russa.
Photo - Kaspersky Lab has revealed an cyber espionage network that launched a series of attacks targeting the computer networks of international diplomatic service agencies. Source: Kommersant
Foto - Kaspersky Lab vem de revelar rede de ciberespionagem que lançou uma série de ataques a redes de computadores de órgãos internacionais de serviço diplomático. Fonte: Коммерса́нтъ
Cybercriminals focusing on Russia, the former Soviet Union, Eastern Europe and some Central Asian countries have stolen confidential data to gain access to computer systems, personal mobile devices and corporate networks, and geopolitical data.
Cibercriminosos focados em Rússia, na antiga União Soviética, na Europa Oriental e em alguns países da Ásia Central já furtaram dados confidenciais a permitirem-lhes acesso a sistemas de computação, dispositivos móveis pessoais e redes corporativas, e a dados geopolíticos.
In October 2012, Kaspersky Lab’s team of experts initiated an investigation following a series of attacks that targeted the computer networks of international diplomatic service agencies. A large-scale cyber espionage network was revealed during the investigation. According to Kaspersky Lab’s analysis report, operation Red October has been a sustained campaign dating back as far as 2007.
Em outubro de 2012, a equipe de especialistas do Kaspersky Lab deu início a investigação subsequente a série de ataques voltados contra as redes de computação de órgãos internacionais de serviço diplomático. Durante a investigação, foi revelada rede de ciberespionagem de larga escala. De acordo com o relatório de análise do Kaspersky Lab, a operação Outubro Vermelho é uma campanha sustentada datada de tão longe no passado quanto 2007.
“We initiated the investigation once we received files from a partner of ours who wanted to remain anonymous. We soon understood that we were dealing with one of the most widespread cyber espionage campaigns that we had ever encountered,” Kaspersky’s chief malware expert, Vitaly Kamlyuk, told CNews.
“Começamos a investigação ao recebermos arquivos de parceiro que desejou permanecer anônimo. Logo percebemos estar lidando com uma das mais amplas campanhas de ciberespionagem que jamais encontramos,” disse à CNews o especialista principal em malware do Kaspersky, Vitaly Kamlyuk.
“The size and variety of the malicious code was simply incredible, with over 1,000 unique files and 34 types of modules. Furthermore, we believe that we can only see part of a much bigger picture.”
“O tamanho e variedade do código malicioso era simplesmente inacreditável, com mais de 1.000 arquivos sem similar e 34 tipos de módulos. Ademais, acreditamos que estamos conseguindo ver apenas parte de um quadro muito maior.”
The attackers infected around 300 computers and mobile devices over five years and stole hundreds of terabytes of data. To this end, they created more than 60 domain names and several server hosting locations in different countries, with the majority located in Germany and Russia. The location of the main server remains unknown.
Os atacantes infectaram cerca de 300 computadores e dispositivos móveis ao longo de cinco anos e furtaram centenas de terabytes de dados. [Um terabyte é o equivalente a 999.501.334.220.456 caracteres, N.doT.] Para isso, criaram mais de 60 nomes de domínio e diversos locais de hospedagem de servidores em diversos países, com a maioria localizados em Alemanha e Rússia. A localização do servidor principal permanece desconhecida.
There is strong evidence to suggest that the code was written by Russian programmers, as Russian words and slang appear in the texts of the virus modules. Kaspersky Lab has been unable to identify the hackers’ affiliation or goals, however.
Há forte evidência a sugerir que o código foi escrito por programadores russos, visto que palavras e gíria russas aparecem nos textos dos módulos de vírus. Kaspersky Lab porém não conseguiu ainda identificar a quem os hackers estão vinculados ou seus objetivos.
The attackers have been focusing not only on diplomatic and governmental agencies, but also on research institutions, trade and military organizations, and the nuclear, oil, gas and aerospace industries. Files of various formats were stolen from infected systems. Experts also discovered files with “acid” extensions, which appear to refer to the classified Acid Cryptofiler software used by several European Union and NATO organizations.
Os atacantes não têm focado apenas órgãos diplomáticos e governamentais, mas também instituições de pesquisa, organizações de comércio e militares, e as indústrias nuclear, de petróleo, de gás e aeroespacial. Arquivos de diferentes formatos foram furtados de sistemas infectados. Especialistas também descobriram arquivos com extensões “ácidas,” que parecem referir-se ao software Criptoarquivador Ácido usado por diversas organizações da União Europeia e da OTAN.
Kaspersky Lab has chosen not to reveal the names of the institutions that have been targeted until the investigation has been completed.
Kaspersky Lab optou por não revelar os nomes das instituições visadas, até que a investigação seja completada.
To infect systems, the attackers sent targeted spear-phishing emails to victims; the emails were “tailored” to the interests of each recipient, Kamlyuk said in an interview with Vedomosti. Malicious emails included customized Trojan droppers and exploits that were rigged for security vulnerabilities inside Microsoft Office.
Para infectar sistemas, os atacantes enviam emails spear-phishing [emails de falsa identidade do emissor, dirigidos a pessoas ou empresas específicas] às vítimas; os emails são “talhados” de acordo com os interesses de cada recebedor, disse Kamlyuk numa entrevista em Vedomosti. Emails maliciosos incluíram despejadores personalizados de cavalos de Troia e exploits [aproveitadores de vulnerabilidades] calibrados para explorar vulnerabilidades de segurança dentro do Microsoft Office.
The exploits were created by other attackers and employed during different cyber-attacks – including those against Tibetan activists and military and energy sector targets in Asia.
Os exploits foram criados por outros atacantes e empregados durante diferentes ciberataques - inclusive aqueles contra ativistas tibetanos e alvos militares e do setor de energia na Ásia.
Among the unique features of the malware is a module that enables the attackers to “resurrect” infected machines. The module is embedded as a plug-in inside Adobe Reader and Microsoft Office installations, providing the attackers a foolproof way to regain access to a targeted system if the main malware body is discovered and removed, or if the system is patched. Furthermore, it enables the attackers to steal data from mobile devices.
Entre os recursos sem par do malware conta-se um módulo que permite aos atacantes “ressuscitar” máquinas infectadas. O módulo é embutido como um plug-in dentro de instalações do Adobe Reader e do Microsoft Office, proporcionando aos atacantes modo seguro de retomar acesso a um sistema visado se o corpo principal do malware for descoberto e removido, ou se o sistema for emplastrado/remendado. Ademais, esse recurso permite aos atacantes furtar dados de dispositivos móveis.
Kaspersky Lab is continuing its investigation in collaboration with international organizations, law enforcement agencies and Computer Emergency Response Teams (CERTs).
Kaspersky Lab está continuando sua investigação em colaboração com organizações internacionais, órgãos de repressão e Equipes de Reação a Emergências de Computação (CERTs).
“Over the past five years, cyber espionage campaigns have evolved from isolated attacks targeting specific vulnerabilities to industrial scale systems,” the executive director of Peak Systems, Maksim Emm, told Vedomosti. “You don’t have to conduct a targeted attack to obtain data, because the computers you need (say, in state agencies) are already infected, and access to them is sold by botnet (computer networks with breached defenses) owners,” said Emm.
“Nos últimos cinco anos, campanhas de ciberespionagem evolveram de ataques isolados visando vulnerabilidades específicas para sistemas de escala industrial,” disse o diretor executivo da Peak Systems, Maksim Emm, a Vedomosti. “Não é preciso conduzir um ataque dirigido para obter dados, porque os computadores necessários (isto é, nos órgãos do estado) já estão infectados, e o acesso a eles é vendido por donos de botnet (redes de computadores com defesas vazadas),” disse Emm.
“To protect your data, you need to take a complex approach and use both technical measures, including antivirus software (however, attackers often remain undetected if they know which software the victim is using), and organizational measures, including bans on opening links and attachments in emails received from unknown addresses and using the same storage devices for internal and external systems,” Kamlyuk said.
“Para proteger seus dados, você precisa de adotar uma abordagem complexa e usar tanto medidas técnicas, inclusive software antivírus (entretanto, os atacantes amiúde permanecem não detectados se souberem que software [antivírus] a vítima está usando), e medidas organizacionais, inclusive proibição de abertura de links e anexos em emails recebidos de endereços desconhecidos e proibição de usar os mesmos dispositivos de armazenamento para sistemas internos e externos,” disse Kamlyuk.
“The more echelons the cyber protection of an organization has, the higher the chance that the attack will be repelled,” said Emm. “These include timely software updates, using software only from reliable producers, antivirus software and, finally, the physical isolation of the computers with confidential information from those with Internet connections.”
“Quanto mais níveis a proteção cibernética de uma organização tiver, maior a probabilidade de o ataque ser repelido,” disse Emm. “Isso inclui atualizações tempestivas de software, uso de software apenas quando originário de produtores fidedignos, software antivírus e, finalmente, isolamento físico dos computadores portadores de informação confidencial daqueles com conexões de Internet.”
The article is based on materials by RBC Daily, Vedomosti.ru, CNews.
O artigo está baseado em materiais de RBC Daily, Vedomosti.ru, CNews.

No comments:

Post a Comment