Empresas preparam ‘autodesligamento’ de software usado por hackers contra governo dos EUA

Mecanismo projetado para evitar que especialistas estudem a praga digital foi usado para desativá-la, mas empresas ainda podem estar comprometidas.


0
Microsoft confiscou endereço que era usado para controle remoto do vírus e colaborou com FireEye e GoDaddy para aplicar mudança que desliga o software espião (Foto: Anders Engelbøl/Freeimages.com)

O componente de acesso remoto incluído por hackers em uma atualização legítima do software Orion, da SolarWinds – e que foi usado para invadir sistemas do governo norte-americano e a empresa de segurança FireEye – está sendo desativado por meio de um sistema de “autodesligamento” que os próprios invasores programaram no software.

O mecanismo não foi ativado pelos ciberspiões, mas por especialistas de segurança.

Uma colaboração entre a FireEye, a Microsoft e a GoDaddy permitiu tirar o controle dos hackers sobre o endereço com qual o vírus se comunica para obter instruções. Os técnicos então configuraram o endereço de tal maneira que o programa espião, ao contatar esse servidor, se desativa em caráter permanente.

Na prática, é semelhante a um comando de autodestruição. Porém, nenhum comando específico foi enviado e nenhuma modificação é realizada nos computadores das vítimas – o vírus simplesmente “adormece”.

O vírus foi programado para não mais se comunicar com seu sistema de controle caso o endereço de IP fosse configurado para uma das várias redes da Microsoft. É possível que os invasores tivessem previsto que a fabricante do Windows assumiria o controle do endereço e, sem saber do mecanismo de desligamento, acabassem interrompendo todo o funcionamento da praga digital.

A Microsoft tem atuado contra diversas pragas digitais criando o que especialistas chamam de “sinkholes”. A ideia é redirecionar a comunicação de pragas digitais para um sistema benigno, que pode ser estudado para ajudar a identificar vítimas e prever os próximos passos dos criminosos.

A FireEye, porém, confirmou em comunicados à imprensa que o mecanismo foi usado propositalmente pelos especialistas para desativar a praga digital. A Microsoft foi citada pela FireEye desde o primeiro anúncio público da FireEye sobre a invasão como uma colaboradora das investigações.

A FireEye destacou que essa medida não vai eliminar outros códigos maliciosos que os espiões podem já ter instalado nas redes atacadas. A medida vai apenas impedir que outros invasores se aproveitem dessa brecha de acesso remoto.

O efeito também lembra a ação do britânico Marcus Hutchins, que freou o ataque do vírus WannaCry em 2017 assumindo o controle do endereço de comando da praga digital.

Fonte: G1

DEIXE UMA RESPOSTA

Digite seu comentário!
Por favor, coloque o seu nome aqui