De acordo com especialistas da Kapersky Lab existe uma nova tendência em ataques de ciberespionagem patrocinados por governos. Ao que tudo indica, eles estão mais sofisticados e direcionados a usuários cuidadosamente definidos, utilizando ferramentas focadas em aumentar o número de componentes, com o intuito de reduzir a visibilidade e aumentar a descrição.
Para Costin Raiu, diretor do GReAT, Time Global de Análise e Pesquisa da Kaspersky Lab, os responsáveis pelos ataques estão concentrados na criação de frameworks para embalar códigos, para que possam ser personalizados em sistemas vivos e forneçam uma maneira confiável de armazenar todos os componentes e dados de forma criptografada, inacessível para os usuários comuns.
Ainda na visão dos especialistas, existem outras táticas de ataques patrocinados por governos daquelas de cibercriminosos tradicionais. Veja quais são:
Escala. Cibercriminosos tradicionais distribuem e-mails em massa com anexos maliciosos ou infectam sites em larga escala, enquanto agentes de governos preferem direcionar cuidadosamente seus ataques, infectando apenas alguns usuários selecionados a dedo.
Abordagem individual. Enquanto os cibercriminosos tradicionais tipicamente reutilizam códigos-fonte, como o infame Zeus ou Trojans Carberb, os agentes de governos constroem malware original, personalizado, e até mesmo implementam restrições que impedem a descriptografia e a execução fora do computador de destino.
Extração de informações valiosas. Os cibercriminosos em geral tentam infectar o maior número possível de usuários. No entanto, eles não têm tempo e espaço de armazenamento para verificar manualmente todas as máquinas que infectam e analisar quem os possui, que dados estão armazenados neles e qual software utilizam – e, em seguida, transferir e armazenar todos os dados potencialmente interessantes. Os atacantes patrocinados por governos têm recursos para armazenar tantos dados quanto quiserem. Para desviarem da atenção e se manterem invisíveis para o software de segurança, eles tentam evitar infectar usuários aleatórios, preferindo recorrer a uma ferramenta de gerenciamento de sistema remoto genérico que pode copiar qualquer informação que possa precisar e em quaisquer volumes. Isso poderia, no entanto, trabalhar contra eles, como movendo um grande volume de dados pode desacelerar a conexão de rede e levantar suspeitas.
