Programa de espionagem inédito foi usado na invasão. Objetivoo é desconhecido.
Por Altieres Rohr
22/05/2020 15h20 Atualizado há um dia
Postado em 23 de maio de 2020 às 13h45m
A fabricante de antivírus Eset publicou detalhes sobre um novo programa de espionagem, que a empresa chamou de "PipeMon". Usado em ataques contra desenvolvedoras de jogos on-line na Coreia do Sul e em Taiwan, o código malicioso teve sua presença camuflada com um certificado digital roubado.
A praga digital foi descoberta em fevereiro, mas a Eset só divulgou informações sobre o caso nesta quinta-feira (21). O nome das empresas atacadas não foi divulgado.
A Eset apontou que as invasões foram realizadas por hackers do grupo conhecido como "Winnti". Em atividade pelo menos desde 2009, acredita-se que esses hackers são os mesmos que atacaram os sistemas da Asus para contaminar computadores e adulteram a versão oficial do software CCleaner para instalar um programa espião em computadores específicos.
O Winnti já foi associado ao governo chinês em relatórios de outros pesquisadores e especialistas, mas a Eset não comentou sobre a origem do ataque.
Hackers tiveram acesso a sistema para modificar games
Não se sabe qual era o objetivo dos invasores, mas foi possível identificar os sistemas que eles alcançaram.
De acordo com a Eset, os hackers conseguiram chegar ao sistema que prepara o arquivo de distribuição ("sistema de build") de uma das empresas.
Com esse sistema em mãos, os hackers poderiam ter modificado arquivos do jogo para alcançar os computadores dos usuários. Foi isso que aconteceu com a desenvolvedora do CCleaner, por exemplo.
Em outro caso, os hackers conseguiram acesso a um servidor de um jogo on-line, obtendo controle sobre itens, personagens e dinheiro do jogo. Isso poderia permitir a eles manipular o game para obter itens e moedas virtuais, que em muitos casos podem ser vendidas por dinheiro real, fora do ambiente do game.
Apesar das possibilidades, não foram encontrados indícios de que qualquer um desses cenários tenha de fato ocorrido.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2020/2/L/2cwYplTVOQj6mHDi9S7g/code-lock.jpg)
Código do programa espião estava codificado e autenticado por certificado roubado para dificultar a ação de soluções de segurança. — Foto: Darwin Laganzon/Pixabay
Código do programa espião estava codificado e autenticado por certificado roubado para dificultar a ação de soluções de segurança. — Foto: Darwin Laganzon/Pixabay
Praga digital se escondeu como 'serviço de impressão'
Os hackers utilizaram várias técnicas para evitar que ferramentas de segurança identificassem a presença do código malicioso.
Um dos truques foi o uso de um certificado digital legítimo, pertencente a outra desenvolvedora de jogos. Certificados digitais atestam que um software pertence a uma determinada empresa e não sofreu modificações. Por essa razão, a maioria das pragas digitais não é associada a certificados de empresas conhecidas: se o hacker utilizar um programa legítimo e alterá-lo, a assinatura do certificado será invalidada.
O Winnti, no entanto, roubou um certificado digital de uma outra desenvolvedora de jogos em 2018. O certificado não foi revogado, o que permitiu que eles o utilizassem para fazer parecer que o software espião era um produto dessa outra desenvolvedora de jogos. Na prática, era como se o software espião estivesse garantindo que tinha uma origem confiável.
O programa de espionagem em si, o "PipeMon", não era conhecido antes de o caso ser descoberto. Programas de espionagem novos, especialmente quando utilizados contra alvos específicos, raramente geram alertas de programas de segurança.
Para esconder o "PipeMon" no sistema, ele era instalado como um "serviço de impressão" no Windows. O Windows carrega os serviços de impressão instalados sempre que o computador é ligado, garantindo que o programa de espionagem estivesse sempre em execução na memória.
Graças a esse método de inicialização, a maioria das listas que mostram programas iniciados com o Windows não indicaria a presença do programa de espionagem. O software também não aparecia na lista de "Processos" do Gerenciador de Tarefas.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
