CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
A caada pelo hacker mais procurado da indstria
financeira O malware conhecido como ZeuS e seu criador esto no topo do crime
ciberntico h quase uma dcada Bloomberg 22 jun. 2015 - Infomoney - Reportagem de Dune Lawrence Traduzido por Paula Zogbi (SO PAULO) Em qualquer epidemia global, importante identificar o primeiro infectado. Nos filmes, voc encontra Gwineth Paltrow. Na epidemia eletrnica de nove anos de idade que ajudou
a criar o crime ciberntico como o conhecemos, voc encontra fliime. Esse foi o nome usado por algum que compareceu ao frum online Techsupportguy.com no dia
11 de outubro de 2006 s 2h24 da manh, dizendo que havia encontrado algum cdigo
defeituoso no computador de sua irm. Algum poderia, por favor, dar uma olhada nisso? , ele escreveu.
Fliime provavelmente no sabia que estava fazendo histria. Mas o programa malicioso que
estava no PC era uma coisa nova, capaz de sugar mais logins de usurios e senhas em um dia do
que os competidores faziam em semanas. Com diversas melhorias, o malware e suas crias
transformaram os roubos de bancos virtuais transformando milhes de computadores em redes globais zumbis controladas por criminosos. Estimativas conservadoras do alcance desse sistema
atingem facilmente centenas de milhes de dlares.
Investigadores que estudam o cdigo conheciam seu criador apenas atravs de apelidos que
mudavam com quase tanta frequncia quanto o prprio malware: A-Z, Montsr, Slavik,
Pollingsoon, Umbro, Lucky1235. Mas o criador do cdigo misterioso deu ao produto um nome
com poder de fixao: ZeuS. Como o deus da mitologia grega, esse ZeuS procriava descendentes
poderosos e tornou-se um estudo de caso da indstria moderna do cyber crime.
Essa a histria de um cdigo terrvel, e da caada por seu criador.
Alguns meses antes da estreia do ZeuS no computador da irm de fliime, Don Jackson conseguiu
seu emprego dos sonhos na Dell SecureWorks, uma armadura de segurana eletrnica que
trabalha com o governo dos EUA e grandes companhias. Ele havia passado os oito anos
anteriores trabalhando com segurana de informaes na Blue Cross Blue Shield em Atlanta. Foi
como passar de segurana de bairro para tornar-se um membro de elite da SWAT.
Jackson, nascido no Alabama e dono de voz calma e nenhuma prepotncia, veio bem preparado.
Alm de seu trabalho durante o dia, ele tinha a misso de aprender sozinho a ler e escrever em
russo e havia comeado a frequentar fruns eletrnicos populares entre criminosos, fingindo ser
um desenvolvedor de cdigos maliciosos.
Nesses fruns, o ZeuS foi uma sensao imediata. Jackson nunca havia visto tanto interesse por
um novo malware. Escrever softwares maliciosos no mais fcil do que criar softwares
legtimos. Cometa um escorrego e as vtimas percebero que foram infectadas, com
computadores lentos, mal funcionamento de programas e quebras de sistemas inteiros. O ZeuS
funcionava com perfeio, diz Jackson. Alm disso, seu autor mantinha um ritmo fervoroso nas
melhorias do programa.
Era um best-seller, disse Jackson. As pessoas amavam. Era um projeto vivo de cdigos, e tinha todas as melhores ferramentas possveis.
CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
Em meados de 2007, o ZeuS havia evoludo para algo como um software empresarial, unindo
todas as ferramentas para uma operao de roubo virtual. Crucialmente, o pacote inclua
funcionalidades para rastrear e administrar mquinas infectadas, facilitando a construo de
redes-zumbi. Os chamados botnets so a base de fraudes virtuais de todos os tipos. Eles no so
apenas fontes de dados de cada um dos computadores; mas tambm uma fora multiplicadora
que hackers podem usar para liberar ondas de spam e de trafego para fechar determinados sites.
Dentro de um ano aps a primeira apario, o software estava desenvolvendo maneiras de
enganar caadores de malware humanos como Jackson ou programas antivrus. Uma vez dentro de um computador, o ZeuS criava seu prprio cdigo, alterando padres que os antivrus
procurariam. Os hackers tambm podiam ligar uma ferramenta que envia dados roubados
atravs de servidores proxy locaes falsas que escondem o percurso e o destino reais e dificultam a tarefa de rastreamento.
Jackson descobriu tudo isso rastreando clientes da SecureWorks infectados e pedindo a ajuda da
companhia, enviando amostras de cdigos que ele desconstruiu e analisou. Em junho de 2007,
ele comeou a perceber o escopo da questo: apenas duas gangues estavam coletando mais de
um gigabyte, ou cerca de um bilho de caracteres, de dados roubados de 10.000 mquinas
diariamente, como escreveu em um relatrio naquele ms.
Ningum sabe quantas pessoas adquiriram o cdigo malicioso, quantos ataques esto em curso e quantos esto sendo planejados, escreveu Jackson. Enquanto isso, usurios domsticos e corporativos esto perdendo informaes sensveis atravs dos gygabites.
A situao piorou rapidamente, ainda que poucas pessoas alm de Jackson e seus colegas
percebessem isso. Boa parte do universo da tecnologia estava ocupada com o iPhone, que a
Apple lanou no dia 29 de junho de 2007. Quase imediatamente, os consumidores comearam a
receber e-mails prometendo links para ganhar capas protetoras de iPhone. Aqueles que clicavam
acabavam com a ltima verso do ZeuS instalada nos seus computadores. Quando Jackson
colocou as mos no novo cdigo, no pde acreditar no que via.
O novo cdigo permitia que os hackers entrassem no meio de uma sesso de navegao de
operaes bancrias. Primeiro, eles vasculhavam dados roubados para identificar mquinas
infectadas que tinham acesso a contas bancrias comerciais, onde transaes ainda maiores no
levantariam suspeitas. Em qualquer momento que uma mquina dessa entrasse em um site
bancrio, o hacker poderia ver em uma interface administrativa que vinha junto com o kit do
ZeuS e se infiltrava na sesso verdadeira.
A vtima poderia ver na sua tela uma mensagem falando sobre atrasos relacionados a
manuteno ou um aviso pedindo por uma senha ou um documento, enquanto o hacker usava o
acesso roubado para limpar a conta. Era um pesadelo para a segurana bancria; as vtimas
tinham realizado o acesso s contas, ento a navegao parecia 100% legtima.
Malwares competidores tentavam a mesma coisa com credenciais roubadas, mas se deparavam
com alertas de fraude quando no conseguiam imitar com perfeio as aes humanas, de acordo
com Jackson. Esse cdigo era claramente trabalho de um programador srio, algum que trouxe
um novo nvel de rigor criao de malware.
Jackson soube que algum que dizia ser o criador do ZeuS estava em um frum particular
chamado Maxafaka, usando o nome A-Z. Sob o pretexto de comprar produtos ZeuS, o
investigador comeou a se corresponder com ele. A-Z tinha um barco e gostava de navegar,
CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
descobriu Jackson, e desejava um Mercedes-Benz. O hacker mencionou uma universidade em
Moscou, mas no ficou claro se ele possua treinamento formal ou um emprego legtimo.
O produto era caro, cerca de US$3.000 pelo modelo bsico, com ferramentas adicionais que
custariam ainda mais dinheiro. Naquele vero, clientes que esperavam um servio compatvel
com o preo apareceram em nmeros enormes. Quadros de mensagens lotaram de reclamaes
sobre a falta de compromisso de A-Z, e os concorrentes comearam a fazer engenharia reversa
no cdigo, colocando cpias mais baratas ou gratuitas. Em agosto de 2007, A-Z anunciou online
que estava fechando as compras do ZeuS.
Foi um blefe. O ZeuS ressurgiu em 2008 com algo raro no universo catico dos vrus: um acordo
para o consumidor. No redistribuir, no estudar o cdigo, no envi-lo a companhias antivrus.
No est claro se algum chegou a quebrar essas regras, nem se o fabricante do ZeuS j culpou
algum disso, mas a medida sinalizava que ele estava falando srio sobre proteger seu IP. Em
2009, a proteo do malware havia evoludo ao nvel de uma licena de hardware: cada
comprador obtinha um arquivo criptografado que poderia ser aberto apenas com uma chave
exclusiva para o seu computador. No haveria divises.
Ningum sabia se esse ZeuS era resultado do trabalho do mesmo hacker que o apresentou
originalmente. Mas a busca por inovao continuou. Usando os apelidos Monstr e Slavik, o autor
circulava novas ferramentas-teste apenas a um grupo confivel de clientes. Ele trabalhava
principalmente com uma gangue chamada JabberZeuS, criada depois que o cdigo incorporou um
mdulo de mensagens baseado no software Jabber, que enviava credenciais roubadas em tempo
real atravs de um chat. A essa altura, os hackers tambm tinham a opo de controlar
virtualmente o computador de uma vtima algo parecido com o controle que um suporte fornece quando o seu computador est quebrado. Essa ferramenta adicional, sozinha, custava
US$10.000, o preo para acessar configuraes de alta segurana que requeriam que qualquer
atividade bancria venha de um computador predeterminado.
A coreografia pode ser complexa, mas era extremamente efetiva. Em Bullet County, hackers do
JabberZeuS infectaram o computador do tesoureiro do municpio, roubando login e senha da
conta bancria do municpio inteiro, bem como o e-mail de contato o que significa que os cdigos de segurana seriam enviados diretamente aos criminosos. Eles adicionaram funcionrios
fictcios folha de pagamento, e ento autorizaram transferncias automticas a esses
trabalhadores, arrecadando mais de US$400.000, de acordo com documentos de um processo
judicial mais tarde. Mulas de dinheiro pessoas contratadas para fingirem ser os funcionrios falsos recebendo os salrios falsos pegavam o dinheiro e levavam embora.
Uma companhia de segurana, a Damballa, estimou que o ZeuS havia infectado 3,6 milhes de
computadores nos EUA em 2009, tornando-se a maior ameaa bonet de todas. O botnet
JabberZeuS foi responsvel naquele ano por ao menos US$100 milhes em perdas bancrias,
mais do que todos os crimes contra bancos tradicionais juntos, de acordo com a SecureWorks.
Em maio de 2009, uma onda de pagamentos eletrnicos fraudulentos chamou a ateno do FBI.
A investigao subsequente, nomeada de Operation Trident Breach, encontrou uma longa lista de
vtimas, incluindo uma irmandade de freiras franciscanas em Chicago e Egremont. Demorou um
ano e meio, mas no dia 30 de setembro de 2010, policiais nos EUA, Ucrnia e Reino Unido
prenderam ou detiveram mais de 150 pessoas.
As prises foram parte de uma constelao acerca de uma gangue ucraniana que invadiu
computadores de 390 empresas dos EUA e usou mais de 3.500 mulas de dinheiro, de acordo com
o FBI. Isso dito, contas bancrias de vtimas foram atingidas em US$70 milhes.
CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
Durante a investigao do JabberZeuS, Jackson descobriu uma dica importante no sobre quem seria o criador do cdigo, mas ao que ele seria. Jackson encontrou um computador que havia sido
usado como um centro de controle botnet temporrio. Nele havia a foto de um homem usando
culos escuros exibindo trs dedos no peito. Atrs dele, visvel atravs de janelas em uma rua,
estava uma palmeira. Jackson enviou a imagem a um pesquisador da Fora Area que ele
conhecia. Um ms depois, a resposta veio: aparentemente a foto havia sido tirada em Anapa, na
Rssia uma cidade turstica no Mar Negro.
O autor do programa no estava entre os presos, mas dias aps a tomada da polcia, o universo
do crime eletrnico sofreria outro choque: ZeuS e seu maior concorrente, o SpyEye, planejavam
uma fuso. O criador do SpyEye, conhecido como Harderman ou Gibodemon, ganhara
notoriedade removendo seu malware como matador do ZeuS. Agora ele anunciava que compraria o rival.
Bom dia! , ele postou em russo em um frum de mercado negro. Eu passarei a promover o produto ZeuS a partir de hoje. Consegui os cdigos fontes sem cobranas, para que clientes que
o comprem no fiquem sem apoio tecnolgico. Slavik no suporta mais o produto (...) ele me
pediu que dissesse que foi bom trabalhar com todos vocs.
Foi um truque de desaparecimento efetivo, ainda que o acordo tenha durado pouco. Em maio de
2011, o cdigo fonte do ZeuS vazou na internet. Alguns pesquisadores acreditam que
Gribodemon esteve por trs do vazamento, alguns teorizam que foi o prprio autor do ZeuS. Por
acidente ou de propsito, ZeuS agora era de fato um projeto de cdigo aberto e isso acabou sendo uma tima estratgia de negcio, diz Sean Sullivan, conselheiro de segurana na F-Secure.
Antes, o autor do ZeuS tinha um negcio que no poderia crescer sem que ele mesmo se
tornasse alvo fcil para a lei. O vazamento permitiu que ele focasse em novos empreendimentos
rentveis, enquanto os investigadores se distraam com a nova onda do ZeuS.
Agora os investigadores no conseguem encontrar as rvores na floresta, disse Sullivan. A reviravolta para o criador do ZeuS tomou forma em um empreendimento privado de botnet que
comeou a chamar a ateno no final de 2011. Em vez de vender o malware para que criminosos
construssem seu prprio botnet, ele e sua nova gangue construram seu prprio, e alugavam
partes dele a outros criminosos por uma taxa. Dessa forma, o coder poderia tornar-se
administrador de seu prprio botnet e controlar a segurana da operao sozinho.
Em janeiro de 2012, o FBI emitiu um aviso para que companhias tomassem cuidado com uma
nova variante do ZeuS que se espalhava atravs de e-mails que alegavam ser de agncias do
governo norte-americano, como o Fed e o FDIC. O malware era chamado apropriadamente de Gameover, de acordo com o FBI, porque uma vez que ele entrasse na sua conta bancria, definitivamente era o fim do jogo. O vrus tinha algumas novas funcionalidades, como lanar ataques de servio negado para distrair a segurana bancria e atrasar a descoberta de transaes fraudulentas. Em julho, o Gameover estava em estimados 1,6 milho de
computadores.
Conforme os bancos ficavam melhores em se defender do ZeuS, a gangue do Gameover
desenvolveu um novo modelo de mercado para complementar os roubos a bancos: o resgate.
O novo vrus, distribudo atravs de spams, enviava o botnet do Gameover e apareceu em 2013.
Pessoas desavisadas que clicavam no link recebiam uma mensagem assustadora: todos os seus
arquivos foram criptografados; pague um resgate de muitos dlares ou nunca ter acesso a eles
novamente. Outras formas de vrus de resgate eram essencialmente grandes blefes os arquivos
CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
estavam bem. Mas essa verso, chamada Cryptolocker, no era, e os pesquisadores no
encontraram uma maneira de destru-la.
Por dois anos o FBI viu esse botnet crescer sem ter ideia de como contra-atacar, diz Thomas
Grasso, agente especial supervisor na diviso ciberntica do FBI. Parecia que os criminosos
haviam construdo um forte indestrutvel.
Nos botnets ZeuS anteriores, o link mais fraco era o comando e controlava servidores atravs de
comandos enviados pelos hackers aos computadores, os quais reenviavam os dados. Esses
servidores davam aos investigadores algo como um endereo fixo para perseguir, geralmente
atravs de nomes de domnios e cdigos dentro dos softwares maliciosos. O Gameover escondia
os centros de comando constantemente mudando suas localizaes na internet e separando o
trfico em at 2.000 servidores proxy. O Gameover tambm desenvolveu uma estrutura
descentralizada: computadores infectados poderiam passar comandos entre si, em vez de cada
um se comunicar separadamente com um servidor de comando.
Eles estudavam as coisas que as pessoas boas haviam feito no passado, tanto a lei quanto setor privado, para afetar os botnets, e com esse conhecimento buscaram fazer algo impermevel, diz Grasso. Honestamente, ns achvamos que era mesmo.
A reviravolta veio no outono de 2013, disse Grasso, quando empresas privadas, incluindo a
SecureWorks, descobriram uma maneira de quebrar o botnet.Grasso ajudou a coordenar um time
de cerca de 10 agentes do FBI e pesquisadores privados de 20 empresas diferentes. Eles tambm
conseguiram mandados judiciais para redirecionar a administrao dos botnets a seus prprios
servidores. No dia 2 de junho de 2014, o FBI e o Departamento de Justia anunciaram a tomada,
juntamente com outra novidade: o nome do homem que chamaram de criador do ZeuS.
Um documento judicial revelado naquele dia
mostrou que ele havia sido trado no por seu
cdigo, mas por um humano. Ele entregou ao
FBI um endereo de e-mail usado pelo
administrador do GameOver ZeuS. Isso os
levou a Evgeniy Mikhailovich Bogachev,
homem de 30 anos com os cabelos raspados.
Outras pessoas caram, uma a uma, nas
mos da lei. Os EUA pegaram o autor do
SpyEye, Aleksandr Panin, quando ele esteve
no aeroporto de Atlanta em julho de 2013.
Ele confessou o crime, e aguarda a sentena
talvez de at 30 anos. Nenhum dos dois pde ser encontrado para entrevistas.
Em fevereiro, o FBI anunciou uma
recompensa de US$3 milhes por
informaes que pudessem levar sua
priso, maior valor j posto em um criminoso
virtual.
No vamos permitir que pessoas cometam crimes e se safem s porque difcil captur-las, diz David Hickton, advogado dos EUA para o distrito da Pensilvnia, onde as acusaes comearam.
CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br
Enquanto isso, o ZeuS tornou-se um presente permanente ao submundo virtual. A SecureWorks
documentou ataques que tiveram mais de 1.400 instituies financeiras como alvos, em mais de
80 pases isso entre 2014 at maro de 2015. Desde o vazamento do cdigo, quase todos os malwares bancrios incorporaram suas ferramentas, de acordo com a SecureWorks.
Jackson mudou-se para Charleston no ano passado para se torna diretor de inteligncia contra
ameaas na PhishLabs, outra companhia de cybersegurana. Em junho passado, logo depois da
descoberta, ele ficou maravilhado com a habilidade do autor de escapar da captura.
Criar uma ferramenta que pode ser responsvel desde a sua concepo por um bilho de dlares em danos, e ainda assim fugir da priso apesar de tudo o que aconteceu, simplesmente incrvel
para mim, ele disse.
A ConsultCORP distribui F-Secure no Brasil. Mais informaes acesse o site
www.consultcorp.com.br
Top Related