Hackers podem estar mirando setor financeiro e laboratórios da Europa
Os hackers que dificultaram a vida de organizadores e visitantes das Olímpiadas de Inverno da Coreia do Sul, em fevereiro, parecem estar de volta. Mas o alvo da vez não é a Copa do Mundo da Rússia nem nenhum evento esportivo, mas sim empresas do setor financeiro e laboratórios de análise e prevenção de ameaças biológicas na Europa.
O alerta foi emitido pelos especialistas do Kaspersky Lab, que evitam apontar diretamente um culpado ou até mesmo um suspeito, mas afirmam que o comportamento da nova onda é semelhante ao que foi visto no final do ano passado, em antecipação aos ataques durante a abertura das Olímpiadas. O uso de e-mails direcionados, com tentativas de phishing e malware, indicariam uma "fase de preparação" para um golpe maior, que deve vir no futuro.
Estão na mira, por exemplo, instituições financeiras e bancos da Rússia, além de laboratórios na França, Ucrânia, Holanda e Suíça. No segundo caso, as mensagens fraudulentas fazem menção ao Spiez Convergence, um evento que deve acontecer em setembro deste ano para reunir a indústria química e biológica para falar sobre ameaças, avanços tecnológicos e outros assuntos. O envenenamento do espião russo Sergei Skripal deve ser um dos assuntos, uma vez que a organizadora foi, também, uma das envolvidas na investigação do caso.
A Kaspersky também evita falar que a conferência seria o alvo, mas aponta que os hackers responsáveis pelos ataques aos jogos de Pyeongchang, no início do ano, passaram meses se preparando e tomando controle de sistemas sem serem percebidos. Foi o que fez com que o golpe fosse tão eficaz, resultando em assentos vazios na abertura das Olímpiadas devido à desativação de máquinas de impressão de ingressos, indisponibilidades nas transmissões ao vivo pela internet e por meio da televisão ou dificuldades no acesso à internet pela imprensa, frequentadores e organização.
O método de infecção também seria semelhante ao da operação batizada de "Olympic Destroyer", com técnicas que ofuscam comandos maliciosos. É o mecanismo padrão para ataques realizados pelo Sofacy, o grupo por trás do golpe às Olímpiadas e que teria ligações com o governo da Rússia, mas os especialistas da Kaspersky ponderam que o mesmo malware pode estar em utilização por mais de um time de criminosos. Neste caso, os possíveis ataques podem ter fins econômicos e não políticos, como os que aconteceram no início do ano.
Por outro lado, os analistas não descartam se tratar de mais uma operação de false-flag, quando os hackers incluem pistas deliberadas para ocultar sua própria identidade enquanto tentam levar as investigações a um outro rumo. No caso do Olympic Destroyer, houve tentativa de atribuir o golpe ao governo da Coreia do Norte quando, na verdade, a operação seria uma retaliação ao banimento de atletas russos da competição após a descoberta de diferentes casos de dopping.
A Kaspersky finaliza o comunicado criticando a fragmentação da comunidade mundial quando o assunto é a segurança digital - e, aqui, ela pode estar falando da própria situação, com uma relação que se torna cada dia mais complicada com os governos dos EUA e Europa. Para a empresa de segurança, o atual clima de separação e rivalidade apenas constitui obstáculos para pesquisadores, abrindo as portas para hackers e impedindo que analistas trabalhem juntos para verificarem ameaças e buscarem soluções.
Em uma tentativa de facilitar esse trabalho conjunto, a companhia divulgou uma lista de indicadores para que os possíveis alvos possam avaliar sua situação. Domínios e IPs que estariam sendo usados pelos hackers também foram liberados para que possam ser bloqueados em redes internas, de forma a evitar acesso remoto e infecção.