O grupo de hackers estatais russos conhecido como Turla realizou algumas das proezas de hacking mais inovadoras na história da ciberespionagem, escondendo as comunicações de seu malware em conexões via satélite ou se apropriando das operações de outros hackers para encobrir a extração de seus próprios dados. Quando estão atuando em seu próprio território, no entanto, eles aparentemente usaram seu controle sobre os provedores de serviços de internet da Rússia para instalar diretamente spyware nos computadores de seus alvos em Moscou.
Uma equipe de pesquisadores de segurança da Microsoft, focada em ameaças de hacking, publicou hoje um relatório detalhando uma nova técnica de espionagem insidiosa usada pelo Turla, que se acredita fazer parte da agência de inteligência FSB do Kremlin. O grupo, também conhecido como Snake, Venomous Bear ou Secret Blizzard da própria Microsoft, aparentemente aproveitou seu acesso sancionado pelo estado aos ISPs russos para interferir no tráfego da internet e enganar as vítimas que trabalham em embaixadas estrangeiras em Moscou, fazendo com que instalassem o software malicioso do grupo em seus PCs. Esse spyware então desativou a criptografia nas máquinas desses alvos, fazendo com que os dados transmitidos pela internet ficassem sem criptografia, deixando suas comunicações e credenciais como nomes de usuário e senhas totalmente vulneráveis à vigilância desses mesmos ISPs e de qualquer agência de vigilância estatal com a qual cooperem.
Sherrod DeGrippo, diretora de estratégia de inteligência de ameaças da Microsoft, diz que a técnica representa uma rara combinação de hacking direcionado para espionagem e a abordagem mais antiga e passiva dos governos para vigilância em massa, na qual agências de espionagem coletam e analisam os dados de ISPs e empresas de telecomunicações para monitorar alvos. “Isso confunde a fronteira entre vigilância passiva e intrusão real”, disse DeGrippo.
Para esse grupo específico de hackers da FSB, DeGrippo acrescenta que isso sugere uma nova arma poderosa em seu arsenal para visar qualquer pessoa dentro das fronteiras da Rússia. “Potencialmente mostra como eles veem a infraestrutura de telecomunicações baseada na Rússia como parte de seu kit de ferramentas”, disse ela.
De acordo com os pesquisadores da Microsoft, a técnica do Turla explora uma determinada solicitação web que os navegadores fazem quando encontram um “portal cativo”, janelas que são mais comumente usadas para controlar o acesso à internet em configurações como aeroportos, aviões ou cafés, mas também dentro de algumas empresas e agências governamentais. No Windows, esses portais cativos se conectam a um determinado site da Microsoft para verificar se o computador do usuário está realmente online. (Não está claro se os portais cativos usados para hackear as vítimas do Turla eram de fato legítimos e rotineiramente utilizados pelas embaixadas-alvo ou se eram impostos às vítimas pelo Turla como parte de sua técnica de hacking.)
Aproveitando seu controle sobre os ISPs que conectam determinados funcionários de embaixadas estrangeiras à internet, o Turla foi capaz de redirecionar alvos para que vissem uma mensagem de erro que os levava a baixar uma atualização dos certificados criptográficos de seus navegadores antes de poderem acessar a web. Quando um usuário desavisado concordava, eles instalavam um malware que a Microsoft chama de ApolloShadow, disfarçado – de forma um tanto inexplicável – como uma atualização de segurança da Kaspersky.
Esse malware ApolloShadow, então, basicamente desativava a criptografia do navegador, removendo silenciosamente as proteções criptográficas para todos os dados web que o computador transmitia e recebia. Esse tampering de certificado relativamente simples provavelmente foi pensado para ser mais difícil de detectar do que um software espião completo, diz DeGrippo, enquanto alcançava o mesmo resultado.
