Todos os posts tagados irão

Mahdi infeta sistemas informáticos no Irão

Mahdi infeta sistemas informáticos no Irão

Depois do Duqu, Stuxnet, Flame, aparece um novo spyware, que tem como principal alvo o Irão, está a ser trabalho de investigação por parte da Kaspersky e da Seculert (empresa de segurança em Israel).

Mahdi, nome baseado no título de alguns ficheiros encontrados neste malware, faz também referência ao profeta Messias mas na realidade o malware tem como objectivo apenas sacar ficheiros PDF, Excel e documentos Word das máquinas comprometidas. Estes formatos geralmente utilizados para informações confidenciais como por exemplo: mapas, planos, relatórios, etc.).

Este malware, que segundo os especialista não é muito sofisticado, é atualizado via servidores C&C (Command & Control) tanto para inserir novos métodos de invasão como para monitorizar teclas pressionadas e gravar audio.

O grande alvo parece ser o Irão mas já foram encontrados servidores em Israel com o mesmo problema.

O procedimento do Mahdi é muito simples. O utilizador clica num documento ou PDF malicioso, um executável é carregado na máquina deste que posteriormente cria um backdoor. Esse backdoor estabelece uma ligação com um servidor C&C para descarregar outros componentes.

Os temas escolhidos nos documentos/PDFs maliciosos são relacionados com o Islão em forma de vídeos, imagens, screensavers, etc. O objetivo é que o utilizador não perceba que está a ter a máquina comprometida e posteriomente a ser utilizada como máquina zombie para futuras tarefas por parte do Mahdi.

A primeira variante encontrada do Mahdi foi encontrada em dezembro de 2011, mas a data de compilação de alguns ficheiros do malware apontam para uma data de criação de setembro de 2011.

Ainda não existe qualquer referência se este malware foi patrocinado por algum governo. Algumas pistas levam a pensar num vasto investimento e um suporte financeiro considerável.
Será o Mahdi mais uma ferramenta de um governo cujo objetivo é roubar informação confidencial e causar dano em infra-estruturas sensíveis?

Podem acompanhar o desenvolvimento do Mahdi no blogue da Seculert e no blogue da Kaspersky.

Ataque à Comodo: Terrorismo de estado ou obra de cibercriminoso solitário?

No IDG Now!:

Empresa confirmou que hacker roubou nove certificados de alto valor, mas acredita que ação pode ter sido patrocinada pelo governo do Irã.

Os ataques à produtora de software de segurança e autoridade certificadora Comodo continuam a chamar a atenção nesta semana. Ao mesmo tempo que uma pessoa reivindica ser o único autor do ataque através de vários posts ao mesmo tempo, a empresa reconhece que dois ou mais de seus parceiros também teriam tido a segurança violada.

No sábado (2/4), um usuário identificado como ComodoHacker postou uma mensagem afirmando ser o autor dos ataques que invadiram os sistemas de um dos parceiros da empresa que cuida de requisições de certificados SSL.

Na semana passada, a Comodo confirmou que um usuário oriundo de servidores iranianos, num ataque que a empresa acredita ter sido financiado pelo governo daquele país, teria violado a segurança de um de seus parceiros e obtido, com sucesso, acesso a nove certificados de alto valor.

Afirmações verdadeiras
Dois pesquisadores de segurança confirmaram
que a chave privada divulgada pela pessoa em um post combinava com certificados do site de add-ons do Mozilla que foram obtidos de modo fraudulento, provando que algumas das afirmações do hacker eram de fato verdadeiras.

“Não foi um hack fácil, tomou tempo” escreveu o hacker. “Invadi muitos revendedores. Contudo, descobri que a maioria destas empresas (conhecidas como Certitficate Authority, ou autoridades certificadoras) verifica seus consumidores de maneira própria. Depois de muita pesquisa e de conversar com essas CAs, passando-me como cliente, vi que havia potencial na Comodo.”

O hacker também reivindicou a invasão de outra CA e mais dois parceiros do Comodo, o que foi confirmado mais tarde por esta última, a partir de uma carta da direção técnica da empresa.

Componente-chave
Os certificados SSL são um componente-chave da segurança na Internet, adicionando um nível de autenticação aos nomes dos domínios. Navegadores dependem destes certificados para enviar solicitações HTTP de modo seguro para autenticar um servidor, como um site de banco, por exemplo.

Um usuário mal intencionado precisaria controlar parte da infraestrutura do nome do domínio ou conduzir um ataque infiltrado para utilizar este certificado.

Os problemas no uso dos certificados foram parte das provas que convenceram a Comodo de que um estado estaria por trás dos ataques, já que um pais, como o Irã, tem controle de sua própria infraestrutura DNS.

Mas, em um e-mail ao CSO, o hacker afirma que controlar as solicitações DNS não é difícil.

“Não há necessidade em acessar a infraestrutura DNS de todo o Irã, tenho meus alvos pessoais e já sou dono de muitas redes desse tipo”, escreveu o hacker.

“Ser dono do gateway de uma rede ou ter um único PC em uma rede com ARP (Address Resolution Protocol) envenenando com meus certificados resolveria mutos de meus problemas.”

Israel e EUA criaram vírus contra o Irão

No Tek Sapo:

A acusação já tinha sido feita anteriormente pelo Irão, mas foi sempre afastada pelos Estados Unidos, que nunca admitiram a responsabilidade sobre o desenvolvimento do Stuxnet, o vírus que afectou sistemas informáticos daquele país islâmico, ligados especialmente ao programa de desenvolvimento nuclear.

Agora especialistas militares vêm confirmar ao jornal The New York Times que o vírus foi concebido numa parceria entre Israel e os Estados Unidos e que pretendia sabotar os esforços de Teerão para o fabrico de armas nucleares.

O teste do vírus terá sido feito a partir do complexo de Dimona, no deserto de Negev, o centro do desenvolvimento do programa de armas nucleares de Israel.

O vírus terá levado ao encerramento de um quinto das instalações nucleares do Irão, diz a notícia, uma informação não confirmada pelas autoridades do país, que ainda assim já admitiram que o ciberataque sabotou o sistema de enriquecimento de urânio.

Um relatório da Agência Internacional de Energia Atómica (AIEA) indicava que as centrifugadoras de Natanz – as instalações supostamente afectadas – estiveram paradas “pelo menos durante um dia” a 16 de Novembro, ainda que as autoridades iranianas tenham referido que essa paragem esteve relacionada com trabalhos de manutenção.

Várias entidades têm vindo a usar o exemplo do Stuxnet como uma mostra para o crescimento dos riscos de ciberataques a infra-estruturas críticas, nomeadamente a agência de cibersegurança europeia, ENISA.

Vírus “Stuxnet” alegadamente ligado a ciberguerra

No Tek Sapo:

A ideia do recurso a meios informáticos para debilitar sistemas informáticos de indústrias e criar danos físicos reais tem sido abordada por diversas vezes nos últimos tempos, mas a questão ganhou uma nova dimensão nos últimos dias com as notícias sobre o worm Stuxnet, que afectou cerca de 45 mil sistemas informáticos um pouco por todo o mundo, principalmente no Irão.

Os acontecimentos levaram os dirigentes políticos, e alguns especialistas, a afirmar, inclusivamente, tratar-se de um ataque dirigido ao país – alegadamente com origem nos EUA e o intuito de sabotar os seus sistemas nucleares, segundo o Irão. Investigadores em segurança confirmam que este não é um vírus convencional e que é possível que “um governo ou uma entidade de saúde privada estejam por detrás desta criação”.

(…)

Também podem ler os seguintes artigos do Miguel Almeida sobre o mesmo tema: