Casper, um malware de perfil que viria dos serviços secretos franceses

, Author


Casper, aquele pequeno fantasma encantador

Em Janeiro, os serviços secretos canadianos tinham indicado que tinham encontrado um malware, chamado “Babar”, particularmente avançado e ligado a priori ou a um grupo de hackers com ligações ao governo francês, ou ao próprio governo. A informação não foi surpreendente, pois os casos de Stuxnet e Flame tinham demonstrado que o apoio dos governos era real e permitido lançar ataques precisos e eficazes, inclusive contra o programa nuclear iraniano. Edward Snowden tinha além disso abordado várias vezes o tema da inteligência e espionagem, indicando que os Estados Unidos estava longe de ser o único a envolver-se nestas actividades.

De acordo com um artigo da Motherboard que concentrava vários testemunhos de peritos em segurança, incluindo de Kaspersky e ESET, outro programa malicioso poderia muito bem fazer parte do cyber-arsenal do Hexágono. Chamado Casper, actua como um “primeiro implante que se envia às vítimas para descobrir quem são” explica Costin Raiu, director de pesquisa da Kaspersky. Segundo a informação recolhida pela editora, Casper foi nomeadamente encontrada no website oficial do Ministério da Justiça sírio em Abril de 2014.

Duas falhas de 0 dias no leitor Flash exploradas num website sírio oficial

Esta descoberta foi feita por outros peritos, incluindo Joan Calvet da ESET. Ele explica assim que Casper foi encontrado escondido numa pasta, à espera que qualquer utilizador fosse infectado, através de um link numa página web, por exemplo. A eficácia da Casper deve-se à utilização de duas vulnerabilidades de 0 dias no leitor Flash da Adobe. Agora, estas falhas são raras, segundo os peritos, e a exploração simultânea de duas sugere que o grupo por detrás do malware tem recursos substanciais.

Como interesse de Casper, é bastante simples: estabelecer um perfil o mais completo possível da vítima. O malware é capaz de fornecer muita informação técnica, e Calvet acredita que os autores são capazes de saber se o equilíbrio destes dados aponta para um alvo interessante. Além disso, Casper estava especificamente no site que permitia aos utilizadores sírios da Internet escrever queixas sobre o regime de Bashar al-Assad. Para os peritos, o interesse teria sido, portanto, o de recolher informações sobre todos aqueles que vieram para escrever queixas.

Do envolvimento da França

Para Costin Raiu, a situação é muito clara: “Quando se tem uma operação de tão grande escala, operando durante anos e utilizando múltiplas falhas de 0 dias, sem o menor retorno financeiro à chave, é óbvio que é apoiada por um estado, é necessariamente apoiada por um estado. Quanto a ligar a operação, e portanto Casper, à França, não há certezas, apenas um conjunto de semelhanças que aproximam o malware de Babar.

Casper e Babar, ambas referências a programas infantis, acredita-se que ambas tiveram origem no mesmo grupo de hackers, chamado “Animal Farm”. Segundo a ESET, Kaspersky e outros, o grupo ou é francês ou de um país francófono, devido a certas referências encontradas no código. Além disso, algum do código da Casper é idêntico ao encontrado em NBOT e Bunny, outro malware que se acredita ter tido origem no grupo Animal Farm, bem como alguns elementos da infra-estrutura de controlo.

Contactámos a DGSE (Direction Générale de la Sécurité Extérieure) para ver se eles gostariam de responder. Nicolas Wuest-Famôse, responsável pelas comunicações, respondeu-nos: “Compreendo perfeitamente o seu pedido, infelizmente, a DGSE, um serviço de inteligência estrangeiro, não se pode exprimir sobre as suas actividades, reais ou supostas”. Uma resposta previsível semelhante às da NSA e do GCHQ britânico após pedidos idênticos.

.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *