A história secreta do Conficker

imagem

Como o programa maligno dominou milhões de computadores no mundo inteiro.

Num bar de hotel em Arlington, na Virgínia, no dia 23 de outubro de 2008, um grupo de especialistas em segurança de computadores conversava. Eles haviam passado o dia ocupados com questões legais. O encontro era um evento anual que atrai os melhores da área. Mas, para os participantes, convém que seja num local discreto e não chame a atenção dos cibercriminosos. Naquela noite, enquanto tomavam seus drinks, surgiu o assunto de uma atualização de segurança que a Microsoft acabara de divulgar.

Fazer uma correção naquele momento era suspeito. Elas costumam ser publicadas mensalmente e esta vinha antes do tempo previsto. “Lembro que pensei em dar uma olhada nela”, recorda Paul Ferguson, analista da Trend Micro, empresa de segurança sediada em Cupertino, na Califórnia. Foi o que ele fez; assim como o restante da indústria de segurança de computadores. Durante meses esse assunto protagonizou conversas e pesquisas de profissionais do setor. A atualização da Microsoft revelou a existência do worm Conficker — um dos mais sofisticados programas malignos já vistos. Apesar da inédita união de esforços contra ele, o Conficker permitiu que seus criadores dominassem PCs domésticos, de universidades, de governos e das forças armadas de pelo menos três países, criando uma lucrativa rede de computadores zumbis. Apresentamos, a seguir, detalhes dessa briga de gato e rato.

A brecha de segurança

A linguagem técnica e concisa usada pela Microsoft ao descrever a atualização de outubro não indicava nada particularmente desagradável. Uma falha de segurança na porta pela qual o Windows envia e recebe sinais da rede poderia permitir acesso indevido. A correção fechava essa brecha. Se todos os usuários do Windows a tivessem instalado, o problema estaria solucionado. Porém nem sempre os usuários domésticos baixam atualizações e muitas empresas demoram semanas para instalá-las, oferecendo aos cibercriminosos a oportunidade de atacar.

Ninguém sabe qual computador foi a primeira vítima do Conficker. Provavelmente foi um PC que já estava sob o controle dos crackers. Depois de instalado, o código maligno começou, furtivamente, a buscar outros computadores vulneráveis na internet. A nova praga rapidamente foi detectada por um dispositivo de escuta, um “telescópio de rede” do Centro de Supercomputação de San Diego, na Califórnia. O telescópio é uma coleção de milhões de domínios falsos de internet que levam a um mesmo computador. Esse arranjo permite monitorar atividades ocultas na rede. Os internautas não têm por que acessar esses endereços, que costumam ser encontrados apenas por programas mal-intencionados.

Os registros mostraram o vírus se propagando em velocidade espantosa. Na manhã do dia 20 de novembro, três mil computadores infectados tentavam conectar-se às portas vulneráveis do telescópio a cada hora — quantidade pouco maior do que a gerada anteriormente por vírus mais antigos. No final da tarde, o número começou a aumentar. Na manhã seguinte, eram registradas 115 mil tentativas de acesso por hora. O Conficker já estava fora de controle.

Esses endereços precisavam ser bloqueados. “Se você impede o acesso, o perigo desaparece”, diz Rick Wesson, da Support Intelligence, empresa de segurança de São Francisco. Ele tem anos de experiência com organizações que fazem registro de domínios. Poucos dias após ter visto a lista de Porras, Wesson desenvolveu um sistema para remover as URLs comprometidas, usando seu próprio dinheiro para adquirir os domínios. Parecia uma grande vitória. Mas os crackers foram ligeiros no contraataque. No dia 29 de dezembro disseminaram uma versão atualizada do vírus que explorava a mesma brecha de segurança.

Baú de truques

Nesse mesmo dia, a praga foi detectada por potes de mel — computadores conectados à internet e deliberadamente desprotegidos para atrair software maligno para análise. Logo ficou claro que se tratava de um vírus sofisticado. Depois de se instalar, ele baixava sua própria correção de segurança para a porta vulnerável, impedindo que outros programas nocivos entrassem. O Conficker também apresentava uma forma habilidosa de se comunicar com seus criadores. Todos os dias, ele produzia 250 sequências de letras às quais acrescentava uma extensão de domínio como .com, .net ou .org para formar endereços da internet, ou URLs. Em seguida, o vírus se conectava a essas URLs. Os criadores do código sabiam quais seriam as URLs geradas a cada dia. Portanto, podiam registrar qualquer uma delas como site e deixar, no servidor, ordens para o programa maligno. Os caçadores de pragas virtuais só conseguiriam localizar o domínio ilícito quando a atualização fosse baixada. Seria tarde demais para impedir o ataque. Nos dias seguintes, os crackers prepararam uma lista de 250 sequências diferentes. A comunidade de segurança não teria como acompanhá-los. Ou melhor, não teve, até que Phil Porras buscasse uma solução. Ele e sua equipe da SRI Internacional, em Menlo Park, na Califórnia, começaram a decifrar o código do Conficker. O vírus estava escondido sob duas camadas de criptografia, que resistiram às ferramentas normalmente utilizadas por Porras. Uma semana antes do Natal, entretanto, sua equipe e outros analistas — incluindo profissionais da Karspersky, em Moscou, na Rússia — conseguiram mapear a estrutura do vírus e determinar as URLs que poderiam ser acessadas por ele.

Ataque pela USB

A nova praga dispunha de uma impressionante coleção de truques. Além de se propagar pela internet, espalhava-se por meio de drives USB conectados aos computadores infectados. Quando esses drives eram posteriormente acoplados a outras máquinas, o programa maligno se transferia para elas. O vírus também bloqueava o acesso a sites de segurança. Quando uma vítima tentava fazer o download da correção da Microsoft, recebia uma mensagem de “página não encontrada”. Outras inovações revelaram a sofisticação dos criadores do Conficker. Se a criptografia usada no código anterior era resistente, a da nova versão parecia à prova de balas. Era baseada em algoritmos que haviam sido divulgados apenas três meses antes por pesquisadores do Instituto de Tecnologia de Massachusetts (MIT).

O novo vírus se disseminou velozmente. É impossível determinar precisamente seu alcance. Mas estima-se que, naquele momento, o número de PCs infectados já passava de três milhões. Essas máquinas incluem as utilizadas pelas forças armadas da Alemanha, da França e da Inglaterra, pelo parlamento britânico, por hospitais e universidades nos Estados Unidos. No dia 12 de fevereiro, a Microsoft ofereceu um prêmio de 250 mil dólares para quem identificasse os criadores do Conficker. Mas por que tanta preocupação? O vírus ainda não havia feito nenhum mal. O problema era o estrago que ele poderia causar. Os crackers poderiam usar a rede de zumbis para atacar roteadores que gerenciam o tráfego da internet ou prejudicar organizações cujos computadores foram infectados. “Essa capacidade pode ser usada para objetivos desastrosos”, alertou Ferguson. “Ela poderá destruir a infra-estrutura de metade do planeta”, ele ressaltou.

Na verdade, o pior estava por vir. No dia 15 de março, o Conficker apresentou um novo problema aos especialistas de segurança. Ele acessou uma URL chamada rmpezrx.org. Esse endereço fazia parte da lista produzida por Porras. Porém — nenhum dos envolvidos quis explicar por que —, não havia sido bloqueada. Um site era suficiente para os crackers agirem. Uma nova versão, com milhares de truques, estava lá espera
ndo para ser instalada pelos computadores zumbis. Agora, a briga de gato e rato ficava evidente. Os autores do Conficker haviam entendido a estratégia de Porras e Wesson. A partir do dia 1º de abril, o código da nova praga seria liberado, procurando atualizações em 500 URLs selecionadas de uma lista de 50 mil que estavam codificadas nele. A variação dos sufixos poderia chegar a 116 e incluiria códigos de países, como .kz para Cazaquistão e .ie para Irlanda. Esses sufixos pertencem a autoridades nacionais e cada uma delas estabelece suas próprias regras de registro. Bloquear o conjunto de domínios anterior havia sido exaustivo. Mesmo que a nova versão do vírus fosse decodificada, seria praticamente impossível impedir o acesso a todos esses novos endereços.

Felizmente, Porras não demorou para extrair a crucial lista de URLs. Em seguida, Wesson e outros analistas entraram em contato com a Corporação de Internet para a Atribuição de Nomes e Números de Registro (Icann), órgão responsável pelo gerenciamento dos sufixos dos países. Wesson mal podia dormir. Devido às diferenças nas normas de cada nação, havia poucas chances de desativar todas as URLs antes de 1º de abril. Mas pelo menos os operadores já estavam cientes do problema. Enquanto isso, manchetes anunciavam o iminente colapso da internet. Porém, o dia 1º de abril passou sem desastres, o que, curiosamente, não foi surpresa. Afinal, essa era apenas a primeira data possível em que a estratégia do vírus mudaria. A alteração dependia da vontade dos criadores do Conficker. Para o público, a história parecia piada de dia da mentira. Essa hipótese, inclusive, não foi descartada. Os truques com as URLs provavelmente eram um engodo. Usar uma URL única para liberar a atualização de um vírus — mesmo no caso de uma praga tão cuidadosamente escondida como o Conficker — não é uma ideia sensata. Isso daria às autoridades uma espécie de alvo para contra-atacar. A partir da segunda versão, o Conficker optou por uma tática muito mais eficaz: comunicação peer-to-peer (P2P). O programa passaria a trocar informações com outras cópias de si mesmo.

Falso antivírus

Seis dias depois do 1º de abril os autores do Conficker liberaram uma nova versão nas redes P2P. Sem alvo determinado, os especialistas em segurança não tinham como interromper sua propagação. A tática das URLs parece ter sido uma isca para distraílos. “Eles disseram: ‘vocês terão de analisar 50 mil domínios’. Mas nunca tiveram a intenção de usá-los”, diz Joe Stewart, da SecureWorks, de Atlanta, Geórgia. A última versão do Conficker ainda tinha outras habilidades, como bloquear a ação de programas feitos para detectá-lo. Surgiam, então, os primeiros negócios ilícitos baseados no vírus. Eles empregavam o programa de spam Waledac e o falso antivírus Spyware Protect 2009. É provável que esses programas não tenham sido desenvolvidos pelos criadores do Conficker. Seguros da força da rede de computadores escravos que haviam organizado, os autores da praga começaram a cobrar pelo acesso de outros criminosos. Esse esquema pode ser muito lucrativo. É necessário que apenas uma pequena quantidade de pessoas clique nos spams para gerar receita. O Storm, outro programa emissor de spam, faturava milhões de dólares anualmente. O mesmo podia acontecer com o falso antivírus. Quando as contas de uma empresa russa por trás de um esquema criminoso de antivírus foram descobertas no ano passado, soube-se que um dos criminosos havia lucrado 145 mil dólares em dez dias.

Os criminosos venceram

Desde o começo de abril, o Conficker está inquietantemente pacífico. Em certo sentido, isso mostra que os criminosos venceram. A rede zumbi foi montada e está sendo usada para seu propósito original: ganhar dinheiro. Por causa dos seus recursos de comunicação P2P, o vírus pode ser atualizado a qualquer momento. Essa situação não é inédita. Existem outras redes de computadores zumbis. A comunidade de segurança continuará buscando formas de derrotá-las. Mas, enquanto a praga estiver nas máquinas, não há correções eficazes.

Essa é uma conclusão frustrante, embora os especialistas afirmem que o Conficker teve consequências positivas. Conforme o medo de um ataque cresceu, acadêmicos, profissionais da indústria e responsáveis por registros de domínios se uniram numa colaboração inédita para derrotar o vírus. Compartilhando informações, eles conseguiram alertar usuários e desenvolver sistemas de varredura que detectassem o código malicioso — pelo menos até que a próxima versão seja liberada — e freassem sua disseminação. Após essa experiência, todos concordam, é muito mais provável que essas colaborações se repitam. Segundo Wesson, isso faz com que os esforços tenham valido a pena — apesar do alto custo. Ele, por exemplo, investiu 30 mil dólares das suas economias para proteger as URLs identificadas por Porras e não sabe se verá esse dinheiro de volta. Mesmo assim, Wesson diz que faria tudo novamente: “Aprendemos muito. Será que eu gastaria 30 mil dólares para livrar o mundo de uma praga virtual? Com certeza”.

Smartphone é o próximo alvo

Neste ano, usuários de smartphones da China receberam mensagens de texto que prometiam uma imagem sexy se clicassem num link. O link iniciava o download de um gerador de spam. Instalado, o programa enviava mensagens aos contatos do usuário. Foi o primeiro vírus disseminado por meio de mensagens de texto. Ele não é mais que um incômodo.

Ainda que as pragas de celulares tenham potencial para causar danos, até agora não apareceu nenhum vírus desse tipo tão ameaçador quanto o Conficker. Há duas razões para isso, de acordo com Albert- László Varabais, da Universidade Northeast, em Boston, nos Estados Unidos. Ele diz que o Bluetooth é ineficaz para transmitir vírus porque só alcança usuários que estejam a até 30 metros um do outro.

Uma opção mais indicada seria disfarçar o vírus como imagem. Mesmo assim, ele só poderia infectar celulares com o mesmo sistema operacional. Como o mercado móvel é fragmentado, nenhuma praga teria alcance muito amplo. Contudo, produtos como o iPhone e smartphones baseados no sistema Android, do Google, estão ganhando participação de mercado. Caso essa porcentagem se torne relevante, os crackers vão mirar esses alvos.

O Conficker em ação

Veja como o worm formou sua rede mundial de computadores escravos.

imagem

imagem

imagem

imagem

imagem

Fonte: GameVicio

2 Respostas to “A história secreta do Conficker”

  1. Vundo Says:

    Queiram me desculpar, mas essa reportagem faz parte da revista Info de Agosto de 2009, da editora Abril. Publicar esta reportagem, se não for permitida pela editora, é derespeito aos direitos autorais. =\


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: