Saltar para o conteúdo

Cibercoleta

Origem: Wikipédia, a enciclopédia livre.

Cibercoleta refere-se ao uso de técnicas de guerra cibernética para a condução de espionagem. As atividades de coleta seletiva normalmente dependem da inserção de malware em uma rede ou computador alvo para verificar, coletar e exfiltrar informações confidenciais.

Cibercoleta começou por volta de 1996, quando a implantação generalizada de conectividade com a Internet para o governo e sistemas corporativos ganhou impulso. Desde esse tempo, tem havido numerosos casos de tal atividade.[1][2][3]

Além dos exemplos patrocinados pelo Estado, a coleta eletrônica também tem sido usada pelo crime organizado para identificação e roubo de bancos online, e por espiões corporativos. A operação High Roller usou agentes de coleta eletrônica para coletar informações de PC e smart-phone que foram usadas para atacar contas bancárias de forma eletrônica.[4] O Rocra, também conhecido como "Red October", sistema de cobrança é uma operação de "espionagem por aluguel" por criminosos organizados que vendem as informações coletadas ao maior licitante.[5][6]

Plataformas e funcionalidades

[editar | editar código-fonte]

Ferramentas de coleta eletrônica foram desenvolvidas por governos e interesses privados para quase todos os computadores e sistemas operacionais de smart-phones. Sabe-se que existem ferramentas para computadores Microsoft, Apple e Linux e para iPhone, Android, Blackberry e Windows.[7] Os principais fabricantes da tecnologia de coleta eletrônica comercial (COTS) incluem Gamma Group do Reino Unido [8] e Hacking Team da Itália.[9] Empresas de ferramentas de ciber-coleta, muitas oferecendo pacotes COTS de explorações de zero-day, incluem Endgame, Inc. e Netragard dos Estados Unidos e Vupen da França.[10] As agências de inteligência estaduais muitas vezes têm suas próprias equipes para desenvolver ferramentas de coleta eletrônica, como Stuxnet, mas requerem uma fonte constante de explorações de zero-day para inserir suas ferramentas em sistemas recém direcionados. Os detalhes técnicos específicos desses métodos de ataque costumam ser vendidos por seis montantes.[11]

A funcionalidade comum da ciber-coleta de sistemas incluem:

  • Data scan: armazenamento local e em rede são verificados para encontrar e copiar arquivos de interesse, estes são, muitas vezes, documentos, planilhas, arquivos de design, tais como Autocad e arquivos do sistema de arquivos, como o arquivo passwd.
  • Capture location: GPS, wi-Fi, rede de informações e outros sensores são usados para determinar a localização e o movimento de um dispositivo infiltrado.
  • Bug: o microfone do dispositivo pode ser ativado para gravar áudio. Da mesma forma, os fluxos de áudio pretendido para o local alto-falantes podem ser interceptadas pelo dispositivo e gravados.
  • Hidden Private Networks that bypass the corporate network security: Um computador que está prestes a ser espionado pode se conectar a uma legítima rede corporativa que é rigorozamente monitorada para atividades de malware e, ao mesmo tempo, pertence a uma rede wi-fi privada fora da rede da empresa, que é o vazamento de informações confidenciais em um computador do funcionário. Um computador como este é facilmente definido como um duplo-agente no departamento de TI, por instalar uma segunda placa de rede sem fio em um computador e um software especial para monitorar remotamente um computador do funcionário através desta segunda placa de interface, sem ter conhecimento que há a comunicação  e troca de informações de seu computador.
  • Camera: o dispositivo de câmeras pode ser ativado a fim de, secretamente, capturar e imagens ou vídeos.
  • Keylogger e Mouse Logger: o malware pode capturar todas as teclas, o movimento do mouse, e cliques do usuário de destino. Combinado com a captura de tela, isso pode ser usado para obter senhas que são digitadas em um teclado virtual.
  • Screen Grabber: o malware pode realizar periódicas capturas de tela. Além de mostrar informações confidenciais que não podem ser armazenados na máquina, tais como saldos de e-banking, e criptografia de web mail, estes podem ser usados em combinação com a Keylogger e Mouse Logger para registrar os dados para determinar as credenciais de acesso para outros recursos da Internet.
  • Encryption: dados coletados geralmente são criptografados, no momento da captura, pode ser transmitido ao vivo ou armazenados para posterior vazamento. Da mesma forma, é prática comum em cada operação específica o uso de uma criptografia específica e polimórfica, utilizada pelos agentes de ciber-coleta, a fim de garantir que a detecção em um local não irá comprometer os demais.
  • Bypass Encryption: Quando malware opera no sistema de destino com todos os acesso e direitos para a conta de usuário de destino ou o administrador do sistema, a criptografia é ignorada. Por exemplo, a interceptação de áudio usando o microfone e saída de áudio de dispositivos, permite que o malware capture para ambos os lados de um criptografia, chamada de Skype.[12]
  • Exfiltration: Cyber-agentes de coleta, geralmente, infiltram-se nos dados a serem capturados de uma forma discreta, muitas vezes esperando por um alto tráfego da web e para disfarçar a transmissão, como uma navegação segura na web. USB flash drives têm sido utilizados para a evasão de informações de sistemas protegidos do air gap. A invasão de sistemas, muitas vezes, envolvem o uso de proxy reverso, sistemas como o receptor de dados.[13]
  • Replicate: os Agentes podem se replicar em outros meios de comunicação ou sistemas, por exemplo, um agente pode infectar arquivos em um compartilhamento de rede gravável ou instalar-se em unidades USB para infectar computadores protegidos por um air gap.
  • Manipulate Files and File Maintenance: Malware pode ser usado para apagar vestígios de si mesmo a partir de arquivos de log. Ele também pode baixar e instalar módulos ou atualizações, bem como arquivos de dados. Esta função também pode ser usado para adicionar "provas" no sistema de destino, por exemplo, para inserir a pornografia infantil no computador de um político ou manipular votos em uma votação electrónica.
  • Combination Rules: Alguns agentes são muito complexos e são capazes de combinar as características acima, a fim de fornecer um altíssimo nível de absorção de informação e recursos. Por exemplo, o uso de GPS e microfone podem ser usados para transformar um smart-phone em um smart-bug que intercepta conversas apenas dentro do escritório de um alvo.
  1. Pete Warren, State-sponsored cyber espionage projects now prevalent, say experts, The Guardian, August 30, 2012
  2. Nicole Perlroth, Elusive FinSpy Spyware Pops Up in 10 Countries, New York Times, August 13, 2012
  3. Kevin G. Coleman, Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? Arquivado em 8 de julho de 2012, no Wayback Machine., AOL Government, July 2, 2012
  4. Rachael King, Operation High Roller Targets Corporate Bank Accounts, June 26, 2012
  5. Frederic Lardinois, Eugene Kaspersky And Mikko Hypponen Talk Red October And The Future Of Cyber Warfare At DLD, TechCrunch, January 21, 2013
  6. Mark Prigg, The hunt for Red October: The astonishing hacking ring that has infiltrated over 1,000 high level government computers around the world, Daily Mail, January 16, 2013
  7. Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones,, Bloomberg, August 29, 2012
  8. «FinFisher IT Intrusion». Consultado em 4 de dezembro de 2016. Arquivado do original em 15 de outubro de 2013 
  9. Hacking Team, Remote Control System
  10. Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control, Information Week, 9 October 2012
  11. Ryan Gallagher, Cyberwar’s Gray Market, Slate, 16 Jan 2013
  12. Daniele Milan, The Data Encryption Problem, Hacking Team
  13. Robert Lemos, Flame stashes secrets in USB drives Arquivado em 15 de março de 2014, no Wayback Machine., InfoWorld, June 13, 2012