Em maio desse ano um malware chamado Flame começou a se espalhar por computadores principalmente no Oriente Médio, com objetivo de infiltrar organizações iranianas e demais. Depois disso o que seguiu foram duas ousadas atitudes dos seus criadores. A primeira foi algo que entrou para a história da segurança na web: se passar por uma atualização oficial do Windows. A segunda foi uma medida para a própria segurança dos seus criadores: a autodestruição do malware.

Enganando o Windows Update

No final de abril o malware passou a se distribuir com a ajuda do Windows Update, enganando computadores ligados a rede para se fazer passar por uma atualização oficial. Para chegar nesse nível avançado de distribuição os criadores do Flame criaram certificados falsos que assinavam digitalmente o código que era distribuído – algo necessário para que a atualização fosse considerada válida pelo Windows.

Ele conseguiu isso com um processo criptográfico que cito mais abaixo no texto, mas de forma simplificada eis aqui o que aconteceu: um computador infectado na rede local se fingia ser o servidor de atualização quando os demais tentavam buscar pelo update na web, redirecionava o tráfego para si próprio e, então, enviava um arquivo contendo o malware na forma de uma atualização.

Certificados criados pelo Flame | Crédito: F-Secure

Foi apenas no domingo, dia 3, que a Microsoft liberou a primeira atualização revogando a autoridade certificadora usada pelo Flame e tornando inválido os certificados emitidos por ela.

E não é como se essa pequena falha fosse desconhecida. De acordo com a análise do blog SecureList, um dos módulos usados para espalhar o update malicioso foi compilado em dezembro de 2010 e instalada em janeiro de 2011. Então alguém já sabia que era possível burlar a atualização oficial da Microsoft, mas apenas agora arriscaram. E foram vitoriosos, ao menos nos dias antes da Microsoft revogar os certificados.

Ainda segundo a Microsoft, a maioria dos ataques era “altamente direcionado”, ou seja, tinham um alvo específico – os computadores no Oriente Médio. Portanto, diz a empresa, a “grande maioria dos seus usuários não corre risco algum”.

Autodestruição embutida

Um pouco depois dessa ousada atitude, o Flame acabou tomando uma rota contrária ao que ele parecia ter como objetivo. A empresa de segurança Symantec, que analisou de perto o código do malware, percebeu que os servidores de comando (controlados pelos criadores do Flame) enviaram um novo arquivo. Esse arquivo, chamado browse32.ocx, tinha como função “desinstalar” todo o malware, apagar todos os rastros dele no computador.

A parte estranha é que o Flame já possuía um comando chamado SUICIDE, cuja ação é auto descritiva, embutido em um dos seus módulos. Mas a análise da Symantec revelou que, enquanto o comando embutido apenas apagava os arquivos usados pelo malware, o novo arquivo não só apagava por completo todo o Flame como sobrescrevia as áreas do disco em que os arquivos estavam com novos dados aleatórios.

Essa atitude, segundo a empresa, serve para dificultar a análise do código do malware e seu possível rastreamento. Isso acontece por que um arquivo apagado no Windows na verdade só tem seu índice apagado, ele continua no HD até a área em que ele esteava seja sobrescrita com novos dados. E foi isso que o novo arquivo fez.

Criado por gênios

Uma análise mais profunda do código do Flame, dessa vez feita por especialistas em criptografia, revelou que ele também foi criado por mentes nada menos do que geniais. Para se passar por uma atualização genuína do Windows o malware precisou fazer algo chamado colisão de hashs em MD5, que é extremamente complicado para explicar em um post mas está detalhado no artigo da Wikipédia sobre MD5 e nesse post do blog TechNet da Microsoft.

Já haviam técnicas de colisão de hash MD5 no passado, mais precisamente em 2005, e que foram usadas para criar servidores de autenticação para certificados antes. Mas segundo a dupla de renomado criptógrafos Marc Stevens e B.M.M. de Wegerm, a técnica usada no Flame é completamente nova e “é algo que jamais foi visto antes”. De fato, ela não é sequer um conjunto de técnicas antigas, existem matemáticos por trás dessa técnica criada para o Flame funcionar.

A teoria mais forte, portanto, é que as pessoas por trás desse ataque sejam patrocinadas ou estejam envolvidas com algum órgão governamental. E essa não seria a primeira vez: o Stuxnet, que também teria como alvo o Irã, foi desenvolvido e implantado pelo governo americano.

Ao que parece a publicidade que o Flame ganhou trouxe um medo inesperado para seus criadores que desistiram de tentar continuar espalhando sua criação pela internet. Ou eles já conseguiram o que procuravam e por isso terminaram as operações. Quais das hipóteses é verdade? Não sabemos ainda. E embora a história do Flame esteja longe de terminar, já é possível dizer que ele entrou para as páginas da história – seja qual for sua origem.

Com informações: ArsTechnica, Slashdot, SecureList.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Raul Vinicius
Faço tudo isso também. A diferença, boa pra mim, é que faço tudo sem pagar nada por isso hehe
@xrenan
Concordo, o genial é no certificado.
Marcos
...Isso para não mencionar os "O Windows encontrou um erro"...ou ainda "O Windows recuperou-se de um erro grave, blá, blá, blá...". Uma loucura! Muita adrenalina que quase mata a gente do coração. Minha vida agora é esse marasmo. Clico num ícone aqui, noutro alí. Entro em sites pornográficos, abro tudo quanto é email suspeito e nada! Tudo naquela paz de um céu cristão. Só contemplação. Daria tudo por um virus qualquer, por um susto, por um pequenos stress que fosse... :(
@iJeanCarlos
Sensacional!!! Resumiu toda a vida de um Windows user.
@iJeanCarlos
Sensacional!!! Resumiu toda a vida de um Windows user.
José Neto
"Para se passar por uma atualização genuína do Windows o malware precisou fazer algo chamado colisão de hashs em MD5, que é extremamente complicado para explicar em um post mas está detalhado no artigo da Wikipédia sobre MD5 e nesse post do blog TechNet da Microsoft." "Autor do md5crypt avisa: mudem para sistemas de senhas mais seguros!" http://br-linux.org/2012/autor-do-md5crypt-avisa-mudem-para-sistemas-de-senhas-mais-seguros/ LOL!!!!
Marcos
Às vezes sinto saudades do Windows...A vida era tão mais emocionante!! Sempre sem saber qual anti-virus escolher. O Avast ( gratuito ou eDonkey :D ) nunca pegava nada. Gritava, gritava e só! O AVG era uma merla: Quando a gente via a tela do computador ficava toda vermelha e ficava naquela de reiniciar a cada 2 segundos. O Norton tinha fama...só fama. E o Kaspersky era razoável, mas conseguir driblar a chave era dificil...E os virus e trojans?!!! Cada uma mais doido que o outro. Uma loucura...Mas hoje...Ai...que vida sem emoção...Faz mais de 3 anos que não sei o que é uma tela azul da morte...ou vermelha...Que saudade daquelas buzinas e sirenes do Avast...
Kessler
Juntando anti-microsoftismo e antiamericanismo na mesma teoria da conspiração. Os freetards piram!
Rafael Silva

Opa, eu estou interessado em saber mais sobre o envolvimento da Microsoft no caso. Onde tem?

marcoscs
o problema é que o jogo que essas entidades jogam é muito pesado para se ter provas claras e cabais sobre qualquer coisa, nada no ambiente deles é claro, cristalino, pelo contrario....
TiagoGabriel
O governo Chinês não é inimigo do irã, muito pelo contrário já patrocinou varios de seus projetos militares e ainda patrocina.
Guilherme Macedo C.
Americo, só que a China não tem interesse em atacar o Irã. Eles são parceiros. Aliás, os principais parceiros comerciais e políticos são China e Rússia. Os dois países rejeitam qualquer ataque. E isso nem deveria ser cogitado. Como mostra a imprensa e empresas de segurança, como Symantec e Kaspersky, Stuxnet realmente seria dos EUA e Israel. Duqu e Flame tem o mesmo aspecto. Não tem fins comerciais, seu desenvolvimento só é possível nunca estrutura estatal, tem as mesmas características, complexidade e o principal, tem o mesmo alvo político, o Oriente Médio. Qto a Microsoft, como falei por aqui, realmente está descartado um pressão governamental para que ela cooperasse com o atentado terrorista. Foi é um erro grotesco de segurança explorado não só por esse malware, como bem falou o "qgustavor".
TiagoGabriel
Concordo com o Guilherme, é terrorismo.
Gabriel
Vixe, não sabia que já era possível calcular colisões para hash MD5. Em teoria, é possível logar em vários sistemas se o hacker/cracker conseguir enviar o código hash calculado para login...
Lucas Pereira
Vi todas as acusações a MS, e quero dar a minha opinião: Se (pelo que eu entendi no post) dá pra fazer isso sem a ajuda da Microsoft (mesmo que seja algo bastante complexo), o mais lógico é que - no final das contas - tenha sido feito sem a ajuda da Microsoft. Por que tu vai adicionar mais um elemento, pra complicar as coisas, se o negócio já é complexo o suficiente pra gerar uma preocupação enorme? Independente de ter sido qualquer governo, acho que não faz sentido colocar a MS no meio da história.
Exibir mais comentários