2016/07/13

Investigadores descobrem malware avançado que infectou rede de energia Europeia


Tal como há programas legítimos que são bem/mal programados, também no campo do malware temos exemplos que vão do mais básico ao mais complexo, e investigadores descobriram um dos mais avançados de sempre, que até já tinha infectado uma empresa de distribuição de energia de um país Europeu.

Nos filmes, vemos muitas vezes hackers a tentar superar sistemas de protecção com impressionantes efeitos visuais 3D que pouco ou nada têm a ver com a realidade. Mas, se as técnicas que este malware utiliza fossem transpostas para filme, podem crer que iria superar tudo o que já alguma vez viram.

Este malware faz todos os possíveis por se manter escondido dos olhares dos utilizadores, administradores de sistemas - e também dos próprios investigadores de segurança. Para esse efeito recorre a técnicas que detectam quando o mesmo está a correr dentro de uma máquina virtual ou com software de análise; e tem o seu código compartimentalizado em diferentes secções encriptadas, complicando o processo de análise do seu funcionamento. Também está atento e suspende o funcionamento em sistemas que usem métodos de protecção biométrica, pois saberá que serão máquinas que estarão sujeitas a inspecção e controlo mais cuidado, e onde teria mais probabilidades de vir a ser detectado.

Quando detecta uma máquina "aceitável", recorre a várias vulnerabilidades conhecidas para tentar ganhar privilégios de administração; e tenta realizar o máximo de operações por via indirecta, usando outros programas, de modo a reduzir a sua visibilidade. A sua primeira missão é evitar o funcionamento de programas de anti-vírus que possam estar instalados, e só depois ter conseguido infectar a máquina ao ponto de ser seguro o seu funcionamento de forma dissimulada, é que comunicará com o seu centro de controlo, que nessa altura terá controlo total para poder enviar malware adicional ou dar-lhe comandos sobre o que fazer a seguir.

A elegância deste malware é de tal nível que os investigadores acreditam que se trate de um malware que tenha sido desenvolvido com alguma organização governamental - da mesma forma que se acredita que o Stuxnet tenha sido desenvolvido pelos EUA.

... Importa referir que faz tudo isto ocupando apenas 280KB. Bem que poderia servir de exemplo para muitos developers de software legítimo. ;P

1 comentário: