Durante seu auge, uma botnet com origem na Rússia tinha controle de mais de 500 mil computadores espalhados pelo mundo, usando keyloggers para roubar senhas de bancos e outros dados confidenciais. Crescendo de forma lente e sempre atenta aos avanços de softwares antivírus, a rede cresceu e ficou longe do olhar público durante anos — até que um lapso em seu sistema de segurança chamou a atenção do pesquisador Wayne Huang, da empresa Proofpoint.

Após estudar o comportamento do grupo, Huang divulgou na última terça-feira (7) um relatório que revela a oportunidade rara de visualizar toda a anatomia de uma operação baseada no uso de malwares. O pesquisador detalha desde as primeiras brechas de segurança até quais tipos de táticas fraudulentas são usadas para a obtenção de lucros.

Embora o esquema não seja particularmente sofisticado ou inovador — sendo até mesmo considerado pequeno para uma botnet —, ele oferece a possibilidade de investigar a fundo as táticas usadas para grupos do tipo permanecerem escondidos. “Eles raramente fazem injeções em massa. Eles não fazem grandes campanhas, então eles estão fora do radar das pessoas”, afirma Huang. “Mas, assim que eles entram, eles constroem um backdoor muito poderoso”, complementa.

Medidas de segurança complexas

Segundo Huang, o passo que marcou a fundação da botnet foi a compra de senhas adquiridas a partir de invasões feitas por outros grupos criminosos. Com isso, o grupo russo conseguiu se instalar em uma série de sites ganhando acesso a todos os seus conteúdos ao mesmo tempo em que permitiam que seus donos reais continuassem fazendo atualizações sem notar nada de estranho.

A partir disso, os hackers começaram a monitorar os dados inseridos por visitantes em busca de informações bancárias que possibilitassem a realização de fraudes. Além disso, o grupo vendia o acesso à sua rede de computadores “zumbis” para aqueles que desejavam disfarçar seu tráfego na internet a partir do uso de conexões alheias.

Embora muitas das páginas controladas passassem por análises regulares de antivírus, o sistema foi feito de forma cuidadosa para garantir que nenhum alarme seria disparado. Antes de fazer o upload de novos códigos, eles se asseguravam que eles não estavam no banco de dados Scan4U — caso isso acontecesse, os hackers realizavam modificações até que o malware conseguisse passar despercebido pelos softwares de proteção.

O grupo também tomou medidas para evitar a atenção de pesquisadores como Huang — caso um visitante usasse um detector automático de malwares, um sistema de distribuição de tráfego ia isolar a sessão e levá-lo até uma versão limpa do site. Também havia um banco de dados que armazenava os endereços de IP usados por empresas de segurança que assegurava que seus membros iam ser transferidos para páginas seguranças — o que fez com que muitos dos donos de sites alertados pelo pesquisador não acreditassem ser vítimas de invasões.

Apesar de as medidas de segurança serem boas, elas não eram exatamente perfeitas. Os hackers se esqueceram de proteger seu painel de controle com uma senha, o que permitiu a Huang observar tudo o que estava sendo feito após ele obter o endereço de que precisava. Embora o grupo eventualmente tenha colocado uma proteção em ação, a medida ocorreu em um momento no qual o pesquisador já havia obtido todos os dados de que precisava.

Culpados que dificilmente vão ser condenados

Segundo Huang, assim que os hackers identificavam um alvo individual, eles usavam kits pré-montados para realizar ataques — incluindo opções conhecidas como o Blackhole, o Sweet Orange e o Phoenix. As vulnerabilidades exploradas eram baseadas em plugins de PDF, Java, Flash e no Internet Explorer, dependendo das características da máquina infectada — trabalho que era terceirizado pelo grupo, que adquiria novos hacks conforme patches de atualização eram realizados.

Mesmo com todos os detalhes obtidos pelo pesquisador, dificilmente os responsáveis pela botnet vão ser presos pela justiça em um futuro próximo. Ainda há muito trabalho a se fazer na detecção de nomes individuais ligados à rede, e ainda não se sabe a quem vai caber essa responsabilidade.

Embora o governo russo tenha realizado algumas ações do tipo no último ano, a desconstrução de uma botnet e a identificação de seus criadores é um processo lento e trabalhoso. Além disso, o tamanho discreto dessa rede em específico pode fazer com que as autoridades responsáveis não deem muita importância para o caso.

Diante da situação, Huang espera que os fatos descobertos por ele sirvam como um alerta para donos de sites e faça com que eles passem a confiar mais em empresas de segurança. “Temos muitos administradores que ficam chateados por acreditar que os acusamos erroneamente de propagar uma infecção”, afirma. “Então esperamos que essas pessoas leiam esse relatório”, finaliza.

Cupons de desconto TecMundo: