consultcorp f-secure a caçada pelo hacker mais procurado da indústria financeira

CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br

A caada pelo hacker mais procurado da indstria

financeira O malware conhecido como ZeuS e seu criador esto no topo do crime

ciberntico h quase uma dcada Bloomberg 22 jun. 2015 - Infomoney - Reportagem de Dune Lawrence Traduzido por Paula Zogbi (SO PAULO) Em qualquer epidemia global, importante identificar o primeiro infectado. Nos filmes, voc encontra Gwineth Paltrow. Na epidemia eletrnica de nove anos de idade que ajudou

a criar o crime ciberntico como o conhecemos, voc encontra fliime. Esse foi o nome usado por algum que compareceu ao frum online Techsupportguy.com no dia

11 de outubro de 2006 s 2h24 da manh, dizendo que havia encontrado algum cdigo

defeituoso no computador de sua irm. Algum poderia, por favor, dar uma olhada nisso? , ele escreveu.

Fliime provavelmente no sabia que estava fazendo histria. Mas o programa malicioso que

estava no PC era uma coisa nova, capaz de sugar mais logins de usurios e senhas em um dia do

que os competidores faziam em semanas. Com diversas melhorias, o malware e suas crias

transformaram os roubos de bancos virtuais transformando milhes de computadores em redes globais zumbis controladas por criminosos. Estimativas conservadoras do alcance desse sistema

atingem facilmente centenas de milhes de dlares.

Investigadores que estudam o cdigo conheciam seu criador apenas atravs de apelidos que

mudavam com quase tanta frequncia quanto o prprio malware: A-Z, Montsr, Slavik,

Pollingsoon, Umbro, Lucky1235. Mas o criador do cdigo misterioso deu ao produto um nome

com poder de fixao: ZeuS. Como o deus da mitologia grega, esse ZeuS procriava descendentes

poderosos e tornou-se um estudo de caso da indstria moderna do cyber crime.

Essa a histria de um cdigo terrvel, e da caada por seu criador.

Alguns meses antes da estreia do ZeuS no computador da irm de fliime, Don Jackson conseguiu

seu emprego dos sonhos na Dell SecureWorks, uma armadura de segurana eletrnica que

trabalha com o governo dos EUA e grandes companhias. Ele havia passado os oito anos

anteriores trabalhando com segurana de informaes na Blue Cross Blue Shield em Atlanta. Foi

como passar de segurana de bairro para tornar-se um membro de elite da SWAT.

Jackson, nascido no Alabama e dono de voz calma e nenhuma prepotncia, veio bem preparado.

Alm de seu trabalho durante o dia, ele tinha a misso de aprender sozinho a ler e escrever em

russo e havia comeado a frequentar fruns eletrnicos populares entre criminosos, fingindo ser

um desenvolvedor de cdigos maliciosos.

Nesses fruns, o ZeuS foi uma sensao imediata. Jackson nunca havia visto tanto interesse por

um novo malware. Escrever softwares maliciosos no mais fcil do que criar softwares

legtimos. Cometa um escorrego e as vtimas percebero que foram infectadas, com

computadores lentos, mal funcionamento de programas e quebras de sistemas inteiros. O ZeuS

funcionava com perfeio, diz Jackson. Alm disso, seu autor mantinha um ritmo fervoroso nas

melhorias do programa.

Era um best-seller, disse Jackson. As pessoas amavam. Era um projeto vivo de cdigos, e tinha todas as melhores ferramentas possveis.


Em meados de 2007, o ZeuS havia evoludo para algo como um software empresarial, unindo

todas as ferramentas para uma operao de roubo virtual. Crucialmente, o pacote inclua

funcionalidades para rastrear e administrar mquinas infectadas, facilitando a construo de

redes-zumbi. Os chamados botnets so a base de fraudes virtuais de todos os tipos. Eles no so

apenas fontes de dados de cada um dos computadores; mas tambm uma fora multiplicadora

que hackers podem usar para liberar ondas de spam e de trafego para fechar determinados sites.

Dentro de um ano aps a primeira apario, o software estava desenvolvendo maneiras de

enganar caadores de malware humanos como Jackson ou programas antivrus. Uma vez dentro de um computador, o ZeuS criava seu prprio cdigo, alterando padres que os antivrus

procurariam. Os hackers tambm podiam ligar uma ferramenta que envia dados roubados

atravs de servidores proxy locaes falsas que escondem o percurso e o destino reais e dificultam a tarefa de rastreamento.

Jackson descobriu tudo isso rastreando clientes da SecureWorks infectados e pedindo a ajuda da

companhia, enviando amostras de cdigos que ele desconstruiu e analisou. Em junho de 2007,

ele comeou a perceber o escopo da questo: apenas duas gangues estavam coletando mais de

um gigabyte, ou cerca de um bilho de caracteres, de dados roubados de 10.000 mquinas

diariamente, como escreveu em um relatrio naquele ms.

Ningum sabe quantas pessoas adquiriram o cdigo malicioso, quantos ataques esto em curso e quantos esto sendo planejados, escreveu Jackson. Enquanto isso, usurios domsticos e corporativos esto perdendo informaes sensveis atravs dos gygabites.

A situao piorou rapidamente, ainda que poucas pessoas alm de Jackson e seus colegas

percebessem isso. Boa parte do universo da tecnologia estava ocupada com o iPhone, que a

Apple lanou no dia 29 de junho de 2007. Quase imediatamente, os consumidores comearam a

receber e-mails prometendo links para ganhar capas protetoras de iPhone. Aqueles que clicavam

acabavam com a ltima verso do ZeuS instalada nos seus computadores. Quando Jackson

colocou as mos no novo cdigo, no pde acreditar no que via.

O novo cdigo permitia que os hackers entrassem no meio de uma sesso de navegao de

operaes bancrias. Primeiro, eles vasculhavam dados roubados para identificar mquinas

infectadas que tinham acesso a contas bancrias comerciais, onde transaes ainda maiores no

levantariam suspeitas. Em qualquer momento que uma mquina dessa entrasse em um site

bancrio, o hacker poderia ver em uma interface administrativa que vinha junto com o kit do

ZeuS e se infiltrava na sesso verdadeira.

A vtima poderia ver na sua tela uma mensagem falando sobre atrasos relacionados a

manuteno ou um aviso pedindo por uma senha ou um documento, enquanto o hacker usava o

acesso roubado para limpar a conta. Era um pesadelo para a segurana bancria; as vtimas

tinham realizado o acesso s contas, ento a navegao parecia 100% legtima.

Malwares competidores tentavam a mesma coisa com credenciais roubadas, mas se deparavam

com alertas de fraude quando no conseguiam imitar com perfeio as aes humanas, de acordo

com Jackson. Esse cdigo era claramente trabalho de um programador srio, algum que trouxe

um novo nvel de rigor criao de malware.

Jackson soube que algum que dizia ser o criador do ZeuS estava em um frum particular

chamado Maxafaka, usando o nome A-Z. Sob o pretexto de comprar produtos ZeuS, o

investigador comeou a se corresponder com ele. A-Z tinha um barco e gostava de navegar,


descobriu Jackson, e desejava um Mercedes-Benz. O hacker mencionou uma universidade em

Moscou, mas no ficou claro se ele possua treinamento formal ou um emprego legtimo.

O produto era caro, cerca de US$3.000 pelo modelo bsico, com ferramentas adicionais que

custariam ainda mais dinheiro. Naquele vero, clientes que esperavam um servio compatvel

com o preo apareceram em nmeros enormes. Quadros de mensagens lotaram de reclamaes

sobre a falta de compromisso de A-Z, e os concorrentes comearam a fazer engenharia reversa

no cdigo, colocando cpias mais baratas ou gratuitas. Em agosto de 2007, A-Z anunciou online

que estava fechando as compras do ZeuS.

Foi um blefe. O ZeuS ressurgiu em 2008 com algo raro no universo catico dos vrus: um acordo

para o consumidor. No redistribuir, no estudar o cdigo, no envi-lo a companhias antivrus.

No est claro se algum chegou a quebrar essas regras, nem se o fabricante do ZeuS j culpou

algum disso, mas a medida sinalizava que ele estava falando srio sobre proteger seu IP. Em

2009, a proteo do malware havia evoludo ao nvel de uma licena de hardware: cada

comprador obtinha um arquivo criptografado que poderia ser aberto apenas com uma chave

exclusiva para o seu computador. No haveria divises.

Ningum sabia se esse ZeuS era resultado do trabalho do mesmo hacker que o apresentou

originalmente. Mas a busca por inovao continuou. Usando os apelidos Monstr e Slavik, o autor

circulava novas ferramentas-teste apenas a um grupo confivel de clientes. Ele trabalhava

principalmente com uma gangue chamada JabberZeuS, criada depois que o cdigo incorporou um

mdulo de mensagens baseado no software Jabber, que enviava credenciais roubadas em tempo

real atravs de um chat. A essa altura, os hackers tambm tinham a opo de controlar

virtualmente o computador de uma vtima algo parecido com o controle que um suporte fornece quando o seu computador est quebrado. Essa ferramenta adicional, sozinha, custava

US$10.000, o preo para acessar configuraes de alta segurana que requeriam que qualquer

atividade bancria venha de um computador predeterminado.

A coreografia pode ser complexa, mas era extremamente efetiva. Em Bullet County, hackers do

JabberZeuS infectaram o computador do tesoureiro do municpio, roubando login e senha da

conta bancria do municpio inteiro, bem como o e-mail de contato o que significa que os cdigos de segurana seriam enviados diretamente aos criminosos. Eles adicionaram funcionrios

fictcios folha de pagamento, e ento autorizaram transferncias automticas a esses

trabalhadores, arrecadando mais de US$400.000, de acordo com documentos de um processo

judicial mais tarde. Mulas de dinheiro pessoas contratadas para fingirem ser os funcionrios falsos recebendo os salrios falsos pegavam o dinheiro e levavam embora.

Uma companhia de segurana, a Damballa, estimou que o ZeuS havia infectado 3,6 milhes de

computadores nos EUA em 2009, tornando-se a maior ameaa bonet de todas. O botnet

JabberZeuS foi responsvel naquele ano por ao menos US$100 milhes em perdas bancrias,

mais do que todos os crimes contra bancos tradicionais juntos, de acordo com a SecureWorks.

Em maio de 2009, uma onda de pagamentos eletrnicos fraudulentos chamou a ateno do FBI.

A investigao subsequente, nomeada de Operation Trident Breach, encontrou uma longa lista de

vtimas, incluindo uma irmandade de freiras franciscanas em Chicago e Egremont. Demorou um

ano e meio, mas no dia 30 de setembro de 2010, policiais nos EUA, Ucrnia e Reino Unido

prenderam ou detiveram mais de 150 pessoas.

As prises foram parte de uma constelao acerca de uma gangue ucraniana que invadiu

computadores de 390 empresas dos EUA e usou mais de 3.500 mulas de dinheiro, de acordo com

o FBI. Isso dito, contas bancrias de vtimas foram atingidas em US$70 milhes.


Durante a investigao do JabberZeuS, Jackson descobriu uma dica importante no sobre quem seria o criador do cdigo, mas ao que ele seria. Jackson encontrou um computador que havia sido

usado como um centro de controle botnet temporrio. Nele havia a foto de um homem usando

culos escuros exibindo trs dedos no peito. Atrs dele, visvel atravs de janelas em uma rua,

estava uma palmeira. Jackson enviou a imagem a um pesquisador da Fora Area que ele

conhecia. Um ms depois, a resposta veio: aparentemente a foto havia sido tirada em Anapa, na

Rssia uma cidade turstica no Mar Negro.

O autor do programa no estava entre os presos, mas dias aps a tomada da polcia, o universo

do crime eletrnico sofreria outro choque: ZeuS e seu maior concorrente, o SpyEye, planejavam

uma fuso. O criador do SpyEye, conhecido como Harderman ou Gibodemon, ganhara

notoriedade removendo seu malware como matador do ZeuS. Agora ele anunciava que compraria o rival.

Bom dia! , ele postou em russo em um frum de mercado negro. Eu passarei a promover o produto ZeuS a partir de hoje. Consegui os cdigos fontes sem cobranas, para que clientes que

o comprem no fiquem sem apoio tecnolgico. Slavik no suporta mais o produto (...) ele me

pediu que dissesse que foi bom trabalhar com todos vocs.

Foi um truque de desaparecimento efetivo, ainda que o acordo tenha durado pouco. Em maio de

2011, o cdigo fonte do ZeuS vazou na internet. Alguns pesquisadores acreditam que

Gribodemon esteve por trs do vazamento, alguns teorizam que foi o prprio autor do ZeuS. Por

acidente ou de propsito, ZeuS agora era de fato um projeto de cdigo aberto e isso acabou sendo uma tima estratgia de negcio, diz Sean Sullivan, conselheiro de segurana na F-Secure.

Antes, o autor do ZeuS tinha um negcio que no poderia crescer sem que ele mesmo se

tornasse alvo fcil para a lei. O vazamento permitiu que ele focasse em novos empreendimentos

rentveis, enquanto os investigadores se distraam com a nova onda do ZeuS.

Agora os investigadores no conseguem encontrar as rvores na floresta, disse Sullivan. A reviravolta para o criador do ZeuS tomou forma em um empreendimento privado de botnet que

comeou a chamar a ateno no final de 2011. Em vez de vender o malware para que criminosos

construssem seu prprio botnet, ele e sua nova gangue construram seu prprio, e alugavam

partes dele a outros criminosos por uma taxa. Dessa forma, o coder poderia tornar-se

administrador de seu prprio botnet e controlar a segurana da operao sozinho.

Em janeiro de 2012, o FBI emitiu um aviso para que companhias tomassem cuidado com uma

nova variante do ZeuS que se espalhava atravs de e-mails que alegavam ser de agncias do

governo norte-americano, como o Fed e o FDIC. O malware era chamado apropriadamente de Gameover, de acordo com o FBI, porque uma vez que ele entrasse na sua conta bancria, definitivamente era o fim do jogo. O vrus tinha algumas novas funcionalidades, como lanar ataques de servio negado para distrair a segurana bancria e atrasar a descoberta de transaes fraudulentas. Em julho, o Gameover estava em estimados 1,6 milho de

computadores.

Conforme os bancos ficavam melhores em se defender do ZeuS, a gangue do Gameover

desenvolveu um novo modelo de mercado para complementar os roubos a bancos: o resgate.

O novo vrus, distribudo atravs de spams, enviava o botnet do Gameover e apareceu em 2013.

Pessoas desavisadas que clicavam no link recebiam uma mensagem assustadora: todos os seus

arquivos foram criptografados; pague um resgate de muitos dlares ou nunca ter acesso a eles

novamente. Outras formas de vrus de resgate eram essencialmente grandes blefes os arquivos


estavam bem. Mas essa verso, chamada Cryptolocker, no era, e os pesquisadores no

encontraram uma maneira de destru-la.

Por dois anos o FBI viu esse botnet crescer sem ter ideia de como contra-atacar, diz Thomas

Grasso, agente especial supervisor na diviso ciberntica do FBI. Parecia que os criminosos

haviam construdo um forte indestrutvel.

Nos botnets ZeuS anteriores, o link mais fraco era o comando e controlava servidores atravs de

comandos enviados pelos hackers aos computadores, os quais reenviavam os dados. Esses

servidores davam aos investigadores algo como um endereo fixo para perseguir, geralmente

atravs de nomes de domnios e cdigos dentro dos softwares maliciosos. O Gameover escondia

os centros de comando constantemente mudando suas localizaes na internet e separando o

trfico em at 2.000 servidores proxy. O Gameover tambm desenvolveu uma estrutura

descentralizada: computadores infectados poderiam passar comandos entre si, em vez de cada

um se comunicar separadamente com um servidor de comando.

Eles estudavam as coisas que as pessoas boas haviam feito no passado, tanto a lei quanto setor privado, para afetar os botnets, e com esse conhecimento buscaram fazer algo impermevel, diz Grasso. Honestamente, ns achvamos que era mesmo.

A reviravolta veio no outono de 2013, disse Grasso, quando empresas privadas, incluindo a

SecureWorks, descobriram uma maneira de quebrar o botnet.Grasso ajudou a coordenar um time

de cerca de 10 agentes do FBI e pesquisadores privados de 20 empresas diferentes. Eles tambm

conseguiram mandados judiciais para redirecionar a administrao dos botnets a seus prprios

servidores. No dia 2 de junho de 2014, o FBI e o Departamento de Justia anunciaram a tomada,

juntamente com outra novidade: o nome do homem que chamaram de criador do ZeuS.

Um documento judicial revelado naquele dia

mostrou que ele havia sido trado no por seu

cdigo, mas por um humano. Ele entregou ao

FBI um endereo de e-mail usado pelo

administrador do GameOver ZeuS. Isso os

levou a Evgeniy Mikhailovich Bogachev,

homem de 30 anos com os cabelos raspados.

Outras pessoas caram, uma a uma, nas

mos da lei. Os EUA pegaram o autor do

SpyEye, Aleksandr Panin, quando ele esteve

no aeroporto de Atlanta em julho de 2013.

Ele confessou o crime, e aguarda a sentena

talvez de at 30 anos. Nenhum dos dois pde ser encontrado para entrevistas.

Em fevereiro, o FBI anunciou uma

recompensa de US$3 milhes por

informaes que pudessem levar sua

priso, maior valor j posto em um criminoso

virtual.

No vamos permitir que pessoas cometam crimes e se safem s porque difcil captur-las, diz David Hickton, advogado dos EUA para o distrito da Pensilvnia, onde as acusaes comearam.


Enquanto isso, o ZeuS tornou-se um presente permanente ao submundo virtual. A SecureWorks

documentou ataques que tiveram mais de 1.400 instituies financeiras como alvos, em mais de

80 pases isso entre 2014 at maro de 2015. Desde o vazamento do cdigo, quase todos os malwares bancrios incorporaram suas ferramentas, de acordo com a SecureWorks.

Jackson mudou-se para Charleston no ano passado para se torna diretor de inteligncia contra

ameaas na PhishLabs, outra companhia de cybersegurana. Em junho passado, logo depois da

descoberta, ele ficou maravilhado com a habilidade do autor de escapar da captura.

Criar uma ferramenta que pode ser responsvel desde a sua concepo por um bilho de dlares em danos, e ainda assim fugir da priso apesar de tudo o que aconteceu, simplesmente incrvel

para mim, ele disse.

A ConsultCORP distribui F-Secure no Brasil. Mais informaes acesse o site

www.consultcorp.com.br

consultcorp f-secure a caçada pelo hacker mais procurado da indústria financeira

Documents