0
0
Por Cristin Goodwin – Gerente Geral, Unidade de Segurança Digital
Um mundo onde as empresas do setor privado fabricam e vendem armas cibernéticas é mais perigoso para os consumidores, empresas de todos os tamanhos e governos. Levamos essa ameaça a sério e interrompemos o uso de certas armas cibernéticas fabricadas e vendidas por um grupo que chamamos de Sourgum. Elas estavam sendo usadas em ataques de precisão visando mais de 100 vítimas em todo o mundo, incluindo políticos, ativistas de direitos humanos, jornalistas, acadêmicos, funcionários de embaixadas e dissidentes políticos. Para limitar esses ataques, nos concentramos em duas ações. Primeiro, criamos proteções em nossos produtos contra o malware exclusivo que Sourgum criou e compartilhamos essas proteções com a comunidade de segurança. Em segundo lugar, lançamos uma atualização de software que protegerá os clientes do Windows das explorações que esse grupo estava usando para ajudar a distribuir seu malware. Realizamos este trabalho em estreita colaboração com o Citizen Lab da Munk School da Universidade de Toronto.
Acreditamos que a Sourgum é um fator ofensivo do setor privado baseado em Israel, ou PSOA. O Citizen Lab identificou o grupo como uma empresa chamada Candiru. A Sourgum geralmente vende armas cibernéticas que permitem a seus clientes, muitas vezes agências governamentais em todo o mundo, invadir os computadores, telefones, infraestrutura de rede e dispositivos conectados à Internet de seus alvos. Essas agências, então, escolhem o alvo e executam, elas próprias, as operações reais.
Inicialmente, começamos este trabalho depois de receber uma dica do Citizen Lab sobre o malware usado pelo Sourgum. O Microsoft Threat Intelligence Center (MSTIC) e o Microsoft Security Response Center (MSRC) passaram semanas examinando o malware, documentando como ele funciona e criando proteções que podem detectá-lo e neutralizá-lo. Chamamos o malware de DevilsTongue (língua do diabo, em português). Construímos proteções contra ele em nossos produtos de segurança e as compartilhamos com outras pessoas da comunidade de segurança para que possam proteger seus clientes. Informações técnicas para clientes e comunidade de segurança estão disponíveis aqui.
Ao examinar como os clientes da Sourgum estavam entregando o DevilsTongue aos computadores das vítimas, vimos que eles estavam fazendo isso por meio de uma cadeia de explorações que afetaram navegadores populares e nosso sistema operacional, oWindows. No início de julho, lançamos atualizações que, quando instaladas, protegem os clientes do Windows de dois exploits importantes do Sourgum.
Esses ataques visaram, principalmente, a contas de consumidores, indicando que os clientes da Sourgum estavam perseguindo determinados indivíduos. As proteções que emitimos impedirão que as ferramentas do grupo funcionem em computadores que já estão infectados e evitarão novas infecções em computadores atualizados e naqueles que executam o Microsoft Defender Antivirus, bem como aqueles que usam o Microsoft Defender for Endpoint.
Isso é parte de um trabalho jurídico, técnico e de defesa mais amplo que estamos realizando para lidar com os perigos causados quando os PSOAs constroem e vendem armas. Como já dissemos, essas empresas aumentam o risco de que as armas caiam nas mãos erradas e ameacem os direitos humanos. É por isso que, por exemplo, entramos com um pedido de amicus em um processo legal movido pelo WhatsApp contra outro PSOA chamado NSO Group.
À medida que aumentamos nosso trabalho para identificar PSOAs e interromper as capacidades de suas armas, continuaremos a identificá-los usando os nomes dados a árvores e arbustos, como fizemos com Sourgum. Isso é semelhante a como usamos os elementos da tabela periódica para nomear os grupos de atores do estado-nação que identificamos.
Agradecemos ao Citizen Lab por compartilhar o malware que gerou este trabalho e por sua oferta de trabalhar com potenciais vítimas desses ataques.
FONTE: MICROSOFT