Estarão hackers da Coreia do Norte por detrás do ciberataque global?

Investigadores de cibersegurança detectaram uma assinatura que identifica o Lazarus Group, ligado a Pyongyang e que esteve por trás do ataque contra a Sony em 2014, no vírus que já infectou mais de 300 mil computadores em todo o mundo.

Foto
A informação dos computadores infectados fica encriptada e é exigido um resgate RITCHIE B. TONGO/EPA

Por trás do ciberataque global que atingiu mais de 300 mil computadores em mais de 150 países desde sexta-feira pode estar… a Coreia do Norte. É a primeira pista avançada por investigadores especializados em cibersegurança, que detectaram no código do WannaCry, o vírus que encripta a informação alojada nos computadores e exige um resgate, algumas linhas semelhantes ao do software usado para atacar a Sony, por exemplo, quando foi lançado o filme que parodiava o líder norte-coreano Kim Jong-un, em 2014.

Neel Mehta, um investigador em segurança da Google, foi quem deu o primeiro alerta. Divulgou no Twitter as linhas de código informático que encontrou no WannaCry e que são idênticas às usadas pelos hackers que se identificam como Lazarus Group. Este grupo é associado à Coreia do Norte, e esteve por trás do ataque à Sony – a comédia A Entrevista imaginava uma entrevista a Kim, que na verdade era um pretexto da CIA para matar o líder norte-coreano. Na altura, o Presidente Barack Obama acusou formalmente Pyongyang pelo ataque.

Pensa-se o grupo Lazarus, que está em actividade desde 2011, é também o autor do roubo – através da Internet – de 81 milhões de dólares do banco central do Bangladesh, e de um ataque ao sistema bancário polaco em Fevereiro.

A Google, a Symantec ou a russa Kaspersky Lab, detectaram estas semelhanças. Mas ainda ninguém chegou ao ponto de atribuir com certeza a autoria do ataque, e muito menos acusar a Coreia do Norte.

Não é por se terem detectado instrumentos que o grupo Lazarus utiliza há anos que se prova que é responsável pelo ataque. Outro grupo pode estar a usar o código como uma falsa bandeira, para confundir. Como piratas que usem a bandeira de um país em vez da caveira e dos ossos.

No entanto, as linhas de código usadas pelo grupo associado ao regime de Pyongyang só foram detectadas nas primeiras vagas do ciberataque com o WannaCry. Nas versões mais recentes, parece ter sido removido – o que torna menos provável a teoria de se tratar de uma falsa bandeira, diz um blog da empresa Kaspersky Lab. “É preciso estudar melhor as versões mais antigas do WannaCry. Aí pode estar a chave para os mistérios deste ataque”, escreveram os investigadores da Kaspersky.

Simon Choi, investigador da empresa Hauri Labs, na Coreia do Sul, que se tem dedicado a estudar as ameaças informáticas provenientes do vizinho do Norte, confirmou à Reuters que partes do código do WannaCry são semelhantes “ao software malicioso usado pela Coreia do Norte”. Este tipo de software aproveita-se de vulnerabilidades do sistema operativo para controlar os computadores.

Neste caso, a falha do sistema operativo da Microsoft, denominada Eternal Blue, foi identificada pela Agência Nacional de Segurança (NSA), que está sempre à procura deste tipo de “portas das traseiras” do software para fazer vigilância em massa nas redes, ou então para ter acesso a aparelhos de suspeitos em casos de terrorismo, por exemplo. Espera-se que ao detectar falhas graves, avise os fabricantes, como a Microsoft ou a Apple, e que estes façam sair actualizações de segurança – e que todos os utilizadores as apliquem.

Só que a informação sobre esta falha de segurança da Microsoft foi roubada à própria NSA, por um grupo de piratas informáticos que se intitula The Shadow Brokers. Como não a conseguiram vender, disponibilizaram-na online.

Brad Smith, o presidente da Microsoft, lançou uma crítica ao Governo dos EUA no blog da empresa: “Temos visto as vulnerabilidades encontradas pela CIA a aparecerem no Wikileaks, e esta que foi roubada da NSA afectou milhões de clientes em todo o mundo”, escreveu. “Os governos devem considerar os danos que podem infligir aos civis, por acumularem estas vulnerabilidades. Devem tratar este ataque como um alerta e aplicar ao ciberespaço as regras que são aplicadas às armas no mundo físico”.

 

 

 

 

 

Sugerir correcção
Ler 6 comentários