A fabricante de antivírus russa Kaspersky Lab divulgou detalhes técnicos de uma série de ataques batizada pela empresa de “Equation”. Especialistas da companhia chamaram os códigos usados pelos ataques de “a Estrela da Morte da galáxia dos malwares”, em referência à arma da série “Guerra nas estrelas” capaz de destruir planetas.
O Equation engloba uma série de programas de espionagem usados para roubar informações de instituições financeiras, governamentais e militares, além de atacar organizações de setores como comunicação, pesquisa nuclear, nanotecnologia e empresas de segurança envolvidas no desenvolvimento de criptografia.
Os códigos foram usados apenas contra alvos específicos de espionagem. Os países mais atacados são o Irã, a Rússia e o Paquistão, o Afeganistão, a Índia, a China, a Síria e Mali. No Brasil, uma organização do setor aeroespecial aeronáutica teria sido invadida pelos espiões. A Kaspersky Lab estima que há pelo menos 500 vítimas do Equation no mundo.
Um dos componentes das pragas do grupo, chamado de “nls_933w.dll”, é capaz de reprogramar o firmware de discos rígidos. O firmware é o software que controla a operação básica do disco, o que significa que o vírus infecta o próprio disco rígido, não apenas os dados nele armazenados. O firmware também controla sua própria memória, por isso o único meio garantido de remover o vírus é retirando e reprogramando fisicamente o chip do disco, o que nem sempre é possível sem danificar o hardware.
Ataques contra hardware são dificultados pelas diferenças entre fabricantes, mas isso não impediu os programadores do Equation. O “nls_933w.dll” consegue funcionar em equipamentos de mais de uma dúzia” de marcas, incluindo Seagate, Western Digital, Samsung, Toshiba, Maxtor e IBM. Apesar de a função estar presente, ela foi raramente usada, segundo a Kaspersky Lab.
Nos casos em que o disco rígido foi alterado, o vírus ganhou acesso a compartimentos de armazenamento “secretos” que não são removidos pela formatação, garantindo a permanência do código espião no sistema infectado.
Possível envolvimento dos Estados Unidos
A Kaspersky Lab não informou quem são os responsáveis pela Equation, mas revelou alguns deslizes cometidos pelos programadores dos códigos que dão pistas sobre a origem dos programas. Em um dos arquivos aparece a palavra “implante”, comum no vocabulário da Agência de Segurança Nacional dos Estados Unidos (NSA).
Outra palavra encontrada nos arquivos é “Grok”, que também aparece em documentos secretos da NSA publicados pelo jornal alemão “Der Spiegel”.
Em outro caso, uma das pragas ligadas ao Equation, chamada de “Fanny”, utilizava em 2008 uma brecha de segurança desconhecida que seria corrigida só com a descoberta do vírus Stuxnet, em 2010. Segundo documentos secretos e uma reportagem do “New York Times”, o Stuxnet foi desenvolvido pela NSA em colaboração com o serviço secreto de Israel.
Distribuição via interceptação de CDs
A Kaspersky Lab informou no alerta que uma praga digital do Equation foi distribuída em 2009 por meio de um CD-ROM de uma “prestigiosa conferência científica internacional” em Houston. A vítima, que não foi identificada, recebeu o CD da organização da conferência. O disco deveria conter fotos do evento, mas era capaz de infectar o computador imediatamente ao ser lido pelo sistema, usando três falhas de segurança – duas delas sem correção na época.
Além da interceptação de encomendas durante o transporte para infectar CDs, o Equation seria distribuído também por meio de pen drives USB e sites maliciosos.
O Equation pode estar ativo pelo menos desde 2001, mas endereços usados pelos espiões chegam a ser registros datados de 1996.
O nome do grupo significa “equação” em português. A Kaspersky Lab deu esse nome por conta da preferência do grupo por complexos esquemas de criptografia. Tecnologias de criptografia costumam de depender de equações matemáticas complicadas para que a chave da criptografia (o “X”) não possa ser descoberta.
Altieres Rohr / Especial para o G1
