Pesquisadores da Kaspersky Lab identificaram um malware batizado de Red October que existe há cinco anos na internet. O vírus de espionagem permaneceu sem ser detectado desde 2007 e afeta 39 países, inclusive o Brasil, a Rússia, os Estados Unidos e o Irã. O malware foi criado para acessar dados governamentais e científicos e, considerando seu tempo de atuação, estima-se que centenas de terabytes confidenciais tenham sido invadidos.
Segundo o site Ars Technica, os alvos do malware foram computadores individuais, redes da Cisco Systems e smartphones da Apple, Nokia e Samsung. No ataque, o vírus utiliza mais de mil módulos distintos para lançar ataques personalizados em cada uma de suas vítimas.
De acordo com um mapa-mundi divulgado pelo laboratório Kaspersky, o Red October visa alvos desconhecidos no Brasil. Nos Estados Unidos, o vírus afeta embaixadas e organizações diplomáticas. Na Rússia, o October invadiu organizações militares, órgãos de pesquisa nuclear, instituições científicas e também embaixadas. Órgãos diplomáticos também foram afetados na Turquia, na Índia e no Irã. Entre os alvos, os computadores russos são os mais visados.
Além de redes Cisco, computadores e smartphones, o malware pode recuperar dados de pendrives, HD externos e dispositivos conectados em aparelhos. O programa consegue, inclusive, recuperar arquivos que já foram apagados.
Red October também possui um identificador que atribui uma identidade única a cada vítima, personalizando seus ataques. Esse processo complexo dentro do programa permite que ele identifique um único computador afetado entre milhões de máquinas vítimas do mesmo processo.
Vírus cria extensão para Adobe Reader e Microsoft Word
Uma característica inovadora do Red October é um módulo que cria uma extensão de arquivo para o Adobe Reader e Microsoft Word nas máquinas invadidas. Uma vez instalado, o software oferece meios para que os invasores recuperem constantemente o controle do computador afetado, mesmo se o malware principal for removido.
Os pesquisadores da Kaspersky informaram o site Ars Technica que esse documento modificado pode ser enviado através de e-mail. O programa pode passar com segurança pelos antivírus tradicionais. Ser for mexido pelo usuário, o arquivo automaticamente começa a processar o módulo que pode iniciar um aplicativo malicioso anexado.
Responsáveis pelo vírus ainda são desconhecidos
Pouco se sabe sobre as pessoas ou organizações responsáveis pelo malware. As fontes são conflitantes e tornam difícil atribuir a nacionalidade de quem liberou o vírus na internet. Acredita-se que os desenvolvedores de malware entendem russo, mas muitos dos programas usados na invasão dos computadores das vítimas foram desenvolvidos por crackers chineses no começo. A longa lista de vítimas do Red October dificulta as tentativas de descobrir a real identidade dos infratores.
A Kaspersky começou a tentar mapear o malware em outubro do ano passado. Desde o início de novembro 2012 até este mês, os pesquisadores conseguiram ver 55 mil ligações para o vírus vindo de 250 endereços IP diferentes.
A estrutura de controle desse vírus possui dados roubados de mais de 60 domínios da internet que servem como senha para esconder sua fonte. Esses dados podem ser outras senhas que guiam até uma “nave-mãe” do Red October. A real fonte dos ataques ainda é desconhecida para os pesquisadores do laboratório Kaspersky.
O laboratório acredita que o vírus foi desenvolvido de maneira bem “coordenada”, mas não há evidência de que esses ataques tenham vindo de um país, como foi o caso do vírus Flame, criado pelos Estados Unidos para espionar o Irã.
O nome da operação de busca ao vírus foi inspirado, provavelmente, no livro de ficção e de espionagem chamado “A Caçada ao Outubro Vermelho”, do escritor Tom Clancy, de 1984. A obra literária é sobre um submarino soviético que permaneceu indetectável por algum tempo.
