A ideia de que hackers e ciberespiões não picam o ponto cai facilmente por terra quando se lê o mais recente relatório da Symantec, sobre o grupo de ciberespiões Dragonfly. A análise dos “selos temporais” das diferentes atividades deste conjunto de hackers que, aparentemente, opera a partir do Leste, revela uma curiosa tendência para o cumprimento de horários, com a maioria dos ataques e contágios a verificarem-se entre as 9h00 da manhã e as 6h00 da tarde, de segunda a sexta, e no fuso horário em uso na Rússia. Para a Symantec, o padrão de atividades, juntamente com a sofisticação dos ataques, não deixa muitas margens para dúvidas: o grupo Dragonfly terá contado com o apoio de um Estado para conseguir infiltrar-se nos sistemas de mais de mil empresas que distribuem eletricidade na Europa e EUA. A empresa de segurança eletrónica só não diz que Estado se trata – apenas refere que, provavelmente, terá origens na Europa de Leste.
O relatório da Symantec indica que o grupo Dragonfly estará em atividade desde 2011 e sublinha que, só depois de fevereiro de 2013, terá começado as investidas sobre os sistemas industriais usados por companhias que distribuem eletricidade.
«Esta campanha vem no encalço do (malware) Stuxnet, que foi a primeira grande campanha de malware direcionada a sistemas (ICS). Mas enquanto o Stuxnet estava focado no programa nuclear iraniano e tinha como primeiro objetivo levar a cabo a sabotagem, o Dragonfly aparenta ter um foco bastante mais alargado no que toca à espionagem e à insistência de intrusões, sendo a sabotagem uma capacidade opcional apenas levada a cabo se necessário», refere o comunicado da Symantec.
Depois de uma fase em que o raio de ação estava centrado na aviação dos EUA e do Canadá, o grupo passou centrar a mira em empresas distribuidoras de energia na Europa e América do Norte.
Os ataques do Dragonfly foram executados em várias etapas, envolvendo spam, malware produzido à medida de diferentes sistemas operativos e equipamentos, a inclusão de malware em software legítimo e ainda o encaminhamento de vítimas para sites legítimos que também estavam infetados (sem os proprietários saberem).
No estojo dos ciberespiões, duas ferramentas se destacaram das restantes: o backdoor Oldrea e um Karagany. Com o Oldrea, os ciberespiões conseguiram desviar dados dos sistemas infetados, bem como ficheiros em arquivo, aplicações instaladas, e dados de endereços de e-mails. Toda esta informação era depois encriptada (pelo software malicioso e ainda no computador das vítimas) e enviada para os servidores que gerem a rede de máquinas infetadas. O Karagany é uma ferramenta já conhecida do mundo do cibercrime que interceta dados sensíveis e também permite executar ficheiros remotamente nas máquinas infetadas.
De acordo com a BBC, o Dragonfly fez vítimas em 48 países, começando por disseminar-se através do contágio de máquinas usadas por funcionários de empresas de energia. Espanha, com 27% das infeções, e EUA, com 24% das máquinas infetadas, lideram o ranking menos recomendável do contágio do Dragonfly. França, Turquia, Itália e Alemanha são outros países com vários contágios registados.
