A empresa de segurança informática russa Kaspersky anunciou que descobriu «A Máscara», um sofisticado programa de ciberespionagem dirigido a entidades de elevado perfil e que fez pelo menos mais de 380 vítimas.
Em comunicado, a Kaspersky diz que os atacantes são de língua hispânica e têm como alvo instituições governamentais, companhias de energia, petróleo e gás, embaixadas e representantes diplomáticos e organismos de investigação.
Adianta que foram identificadas infecções em 31 países, entre os quais Espanha, Argentina, Brasil, Colômbia, Cuba, França, Alemanha, Suíça, Estados Unidos, Reino Unido, Noruega, Bélgica, Polónia, Irão, Iraque, Líbia e Venezuela.
Os atacantes simulam subdomínios para que os websites pareçam mais reais, nomeadamente simulam secções dos principais jornais de Espanha, do britânico «The Guardian» ou do norte-americano «The Washington Post».
O «exploit» para ataque dá ao malware capacidade para evitar a sua detecção.
Os piratas informáticos recolheram informação sensível dos sistemas infectados, incluindo chaves de encriptação, configurações VPN, chaves SSH (que funcionam para autenticação e acesso de utilizadores a servidores SSH) e ficheiros RDP (que dão automaticamente acesso a computadores com acesso reservado), acrescenta.
A companhia russa salienta que o que torna especial «A Máscara», também conhecida por «Careto», é a complexidade do conjunto de ferramentas utilizadas, que incluem um programa malicioso extremamente sofisticado, um rootkit, um bootkit, versões para os sistemas operativos Mac OS X e Linux e provavelmente também para Android e iOS (iPad e iPhone).
A Kaspersky afirma que há razões para acreditar que um Estado patrocine este malware, pelo elevado grau de profissionalismo nos procedimentos operativos do grupo, desde a gestão da infra-estrutura ao fecho da operação, evitando a detecção através das regras de acesso e da limpeza dos ficheiros de registo em vez da sua eliminação.
Costin Raiu, director da Kaspersky, coloca «A Máscara» à frente do «Duku» (frequentemente atribuído a agências governamentais dos Estados Unidos e Israel) em termos de sofisticação e classifica-a como «uma das ameaças mais avançadas neste momento».
Salienta que aquele «nível de segurança operacional não é normal em grupos de cibercriminosos».
A Kaspersky indica que os seus investigadores detectaram «A Máscara» pela primeira vez em 2013 quando observaram tentativas de explorar uma vulnerabilidade nos produtos de segurança da marca russa, utilizando um ataque personalizado para esses produtos.
Adianta que identificou amostras de «A Máscara» que datam de 2007, o que significa que o ataque esteve vários anos activo, e destaca que durante a investigação da Kaspersky os servidores de comando e controlo do malware foram desligados.