Os russos da Kaspersky Lab dizem que nunca viram nada assim. Foi descoberto um grupo que tem lançado os mais avançados ataques de ciberespionagem em vários países e que consegue mesmo infetar e reprogramar discos rígidos de forma invisível e sem remédio. "É provavelmente um dos mais sofisticados grupos de ciberataques do mundo", afirma a Kaspersky Lab, empresa de segurança informática.

O software é complexo e consegue desinstalar-se se o alvo não for interessante, não deixando rasto. A Kaspersky chamou ao grupo "Equation", mas há muitos especialistas a chamar-lhe outra coisa: NSA. Os detalhes indicam que este grupo se trata de uma equipa da agência de segurança nacional norte-americana.

Publicidade
Publicidade

Foi o que confirmaram dois ex-funcionários da agência à Reuters, após a divulgação do relatório durante o evento anual de analistas de segurança da Kaspersky Lab. Do ponto de vista técnico, a Kaspersky descobriu técnicas de ataque do grupo que foram mais tarde utilizadas no Stuxnet, o código malicioso desenvolvido pela NSA para infetar uma instalação de enriquecimento de urânio no Irão, em 2010. A empresa de segurança não nomeia a NSA, mas refere que a agência teve conhecimento da divulgação deste relatório antecipadamente.

Os dados indicam que o "Equation" passou os últimos 14 anos a lançar ataques direcionados online, sem que ninguém o descobrisse, e é hoje "o agente de ameaças mais avançado" que a Kaspersky alguma vez viu. Os seus alvos são maioritariamente governos e agências governamentais, instalações de pesquisa nuclear, ativistas islâmicos, entidades de telecomunicações, militares, petróleo e gás, entre vários outros.

Publicidade

Os ataques foram identificados em pelo menos 30 países, com a maior taxa de infeção detectada no Irão, Rússia, Paquistão, Afeganistão, Índia, China, Síria e Mali.

"O grupo Equation é um agente de ameaças altamente sofisticado, que esteve envolvido em múltiplas operações de ataque a rede de computadores desde 2001, e possivelmente mais cedo, desde 1996", escreve a Kaspersky no relatório. As técnicas de infeção usadas incluem CD-ROM, memórias USB, exploração via web e ainda um código malicioso auto-replicante, Fanny.

A firma de segurança descreve um episódio de infeção que ocorreu com CD-ROM e envolveu uma conferência científica em Houston, Texas. Depois de regressarem a casa, alguns participantes receberam pelo correio uma cópia dos conteúdos da conferência e um slideshow com materiais do evento. Este CD-ROM vinha, afinal, infetado e executava um instalador que tentava obter privilégios dentro do sistema usando métodos de exploração do Equation, instalando depois software de espionagem.

Publicidade

Ninguém sabe como os CD foram intercetados e infetados. "Não acreditamos que os organizadores da conferência tenham feito isto de propósito", sublinha a Kaspersky.

Mas a característica mais extraordinária do "Equation" é conseguir infetar o 'firmware' de discos rígidos - algo que os investigadores nunca tinham visto antes. A empresa descobriu infeções em discos da Samsung, Micron, Toshiba, Seagate, Western Digital, entre outros fabricantes. "Dada a complexidade deste processo e o conhecimento e recursos necessários para implementar algo assim, o mecanismo parece estar fora do alcance dos grupos de ameaças mais avançados do mundo, exceto o grupo Equation."

A descoberta da Kaspersky - que promete continuar a publicar informações - foi acidental, quando investigava um computador no Médio Oriente que tem atraído as mais complexas infeções disponíveis.