A McAfee detectou um spyware especialmente selectivo nos documentos que rouba. Tem sido usado em ataques mantidos contra sistemas militares sul-coreanos, de acordo com o fabricante.
Novas análises sobre a turbulenta campanha de malware “Dark Seoul”, desenvolvida contra a Coreia do Sul, está a revelar segredos mais profundos. Um relatório da McAfee descreve uma operação paralela muito menos visível, mas projectada para roubar dados militares classificados como secretos.
Os ataques mais exuberantes “limparam” dados de computadores de bancos, encerraram caixas ATM e deixaram sites públicos a funcionarem mal. O estudo da McAfee assume agora que “os ataques contra alvos sul-coreanos eram, na verdade a conclusão de uma campanha de espionagem secreta”.
Pensou-se que a gerir os ataques estavam dois grupos, o “Hacking Whois” e o “NewRomanic Cyber Army Team”. Mas a McAfee agora suspeita de ambas as equipas pertencerem ao mesmo grupo, devido às semelhanças no código usado no ataque.
Uma análise de malware usado pelo grupo sugere que uma operação de espionagem contra alvos da Coreia do Sul tenha sido desenvolvida desde 2009, segundo o relatório da McAfee. Os ataques mais visíveis, contra sites e bancos no início deste ano, podem ter sido uma diversão.
McAfee denominou a componente militar da actividade do grupo como “Operação Troy”, devido ao uso da palavra “Troy”, em várias versões compiladas de malware. Os hackers tentaram comprometer computadores militares, atraindo as vítimas para um site de rede social militar ou enviando emails de “spearphishing”.
Quando o malware infecta com sucesso um computador, o programa “varre” o disco rígido procurando ficheiros interessantes. Como o roubo de dados em grande escala pode muitas vezes fazer disparar alertas, este malware é mais selectivo.
“O malware não extrai todos os documentos encontrados no rastreio do disco rígido, mas atribui uma assinatura única ao sistema infectado de acordo com o que ele contém”, diz a McAfee. “Os sistemas menos interessantes, são menos propensos à extracção documentos extraídos das mesmas”.
(Jeremy Kirk, IDG News Service)
COMPUTERWORLD/montedo.com