Pesquisadores apontam semelhanças técnicas entre programa espião da SolarWinds e grupo 'Turla'

Ciência e Tecnologia
Eduardo Carvalho
18:35:08
13/01/2021
0

Especialistas também investigam site que alega estar vendendo informações roubadas na operação, inclusive códigos-fonte da Microsoft. Especialistas começam a encontrar semelhanças entre ataque à SolarWinds e outros ataques anteriores, mas temem operação de 'bandeira falsa'.

Alfred Muller/Pixabay

O ataque hacker contra a SolarWinds, que se espalhou para várias empresas e repartições governamentais por meio de uma atualização de software adulterada, ganhou novos capítulos com a descoberta de semelhanças técnicas que podem vincular o ataque ao grupo conhecido como "Turla".

E agora, especialistas também estão investigando uma página na web lançada vender alguns dos dados que teriam sido roubados na operação, inclusive códigos-fonte da Microsoft. A venda dos fatos, se comprovada, também pode trazer pistas sobre a identidade dos responsáveis.

Além da Microsoft, o site oferece códigos-fonte da Cisco e da própria SolarWinds, que teriam sido comprometidas no ataque.

Não se sabe se as informações são legítimas, mas os responsáveis pelo site estão pedindo US$ 1 milhão (cerca de R$ 5,3 milhões) por todos os pacotes de dados. O preço avulso é maior: o pacote da Microsoft, o mais caro, sai por US$ 600 mil.

Informações do governo norte-americano, que foi um dos grandes alvos dos hackers, não estão à venda no site. O governo dos Estados Unidos admitiu recentemente que 3% de todas as contas de e-mail do Departamento de Justiça foram comprometidas pelos hackers, por exemplo.

Não seria a primeira vez que um grupo de ciberespiões tenta vender arquivos e programas obtidos em alguma invasão.

Em 2016, um grupo de hackers conhecido que usava o nome de "Shadow Brokers" tentou leiloar ferramentas de ataque roubadas do governo norte-americano. Acredita-se que eles eram associados ao governo russo, embora esta hipótese seja especulativa.

Mas há outros paralelos entre a atuação dos hackers da SolarWinds e grupos associados à Rússia.

As semelhanças técnicas identificadas por uma pesquisa da fabricante de antivírus Kaspersky indica uma possível relação entre o "Solarburst" e o "Kazuar".

"Solarburst" é o nome que especialistas deram para um dos códigos de espionagem usados na sequência de invasões decorrentes do ataque à SolarWinds, enquanto o "Kazuar" é um programa usado pelos hackers do grupo Turla, associado à Rússia e conhecido há mais de cinco anos.

Hackers atacaram empresa de tecnologia de redes para invadir governo dos EUA e FireEye

Autoridades americanas já admitiram trabalhar com a hipótese de que os ataques foram uma "operação de inteligência" de "origem Russa". O Turla se encaixaria nesta descrição, mas sua atuação é separada de outros grupos vinculados às agências de inteligência da Rússia, como o "Cozy Bear" e o "Fancy Bear".

Citando fontes anônimas, o jornal "Washington Post" apontou o "Cozy Bear" como provável responsável pelo ataque. Este grupo é vinculado à SVR, uma agência de inteligência do governo russo. Mas não está claro se existe um elo entre o Cozy Bear e o Turla para além da origem desses grupos.

Entenda as semelhanças técnicas

A Kaspersky encontrou três semelhanças relevantes entre o Sunburst e o Kazuar:

Algoritmos parecidos para calcular o tempo de ociosidade. Em códigos de espionagem, não é incomum que hackers programem um "período de hibernação". Retardando suas ações, o programa evita chamar a atenção em momentos inoportunos. De acordo com a Kaspersky, os dois programas fazem isso de forma comparável;

Os dois códigos optam por usar uma versão modificada de um algoritmo de "hashing" (resumo matemático) chamado FNV-1a. A modificação é idêntica e baseada em um número constante, que é diferente em cada programa. A finalidade também é distinta. Mas a escolha da mesma função de cálculo, com modificações de natureza idêntica, é suspeita;

Há semelhanças no método utilizado para calcular o "identificador de vítima"

Segundo a empresa antivírus, não é possível tirar nenhuma conclusão a partir destes dados. "O aprofundamento das pesquisas neste tópico é fundamental para conectar os pontos", diz a nota técnica da Kaspersky.

A companhia também levantou a possibilidade de uma tentativa de operação de "bandeira falsa", que ocorre quando um grupo adota técnicas de outro para tentar incriminá-lo.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Dicas para preservar seus dados online

5 dicas de segurança para sua vida digital

Vídeos sobre SEGURANÇA DIGITAL