Cibercoleta

Cibercoleta refere-se ao uso de técnicas de guerra cibernética para a condução de espionagem. As atividades de coleta seletiva normalmente dependem da inserção de malware em uma rede ou computador alvo para verificar, coletar e exfiltrar informações confidenciais.

Cibercoleta começou por volta de 1996, quando a implantação generalizada de conectividade com a Internet para o governo e sistemas corporativos ganhou impulso. Desde esse tempo, tem havido numerosos casos de tal atividade.^[1]^[2]^[3]

Além dos exemplos patrocinados pelo Estado, a coleta eletrônica também tem sido usada pelo crime organizado para identificação e roubo de bancos online, e por espiões corporativos. A operação High Roller usou agentes de coleta eletrônica para coletar informações de PC e smart-phone que foram usadas para atacar contas bancárias de forma eletrônica.^[4] O Rocra, também conhecido como "Red October", sistema de cobrança é uma operação de "espionagem por aluguel" por criminosos organizados que vendem as informações coletadas ao maior licitante.^[5]^[6]

Plataformas e funcionalidades

Ferramentas de coleta eletrônica foram desenvolvidas por governos e interesses privados para quase todos os computadores e sistemas operacionais de smart-phones. Sabe-se que existem ferramentas para computadores Microsoft, Apple e Linux e para iPhone, Android, Blackberry e Windows.^[7] Os principais fabricantes da tecnologia de coleta eletrônica comercial (COTS) incluem Gamma Group do Reino Unido ^[8] e Hacking Team da Itália.^[9] Empresas de ferramentas de ciber-coleta, muitas oferecendo pacotes COTS de explorações de zero-day, incluem Endgame, Inc. e Netragard dos Estados Unidos e Vupen da França.^[10] As agências de inteligência estaduais muitas vezes têm suas próprias equipes para desenvolver ferramentas de coleta eletrônica, como Stuxnet, mas requerem uma fonte constante de explorações de zero-day para inserir suas ferramentas em sistemas recém direcionados. Os detalhes técnicos específicos desses métodos de ataque costumam ser vendidos por seis montantes.^[11]

A funcionalidade comum da ciber-coleta de sistemas incluem:

Data scan: armazenamento local e em rede são verificados para encontrar e copiar arquivos de interesse, estes são, muitas vezes, documentos, planilhas, arquivos de design, tais como Autocad e arquivos do sistema de arquivos, como o arquivo passwd.
Capture location: GPS, wi-Fi, rede de informações e outros sensores são usados para determinar a localização e o movimento de um dispositivo infiltrado.
Bug: o microfone do dispositivo pode ser ativado para gravar áudio. Da mesma forma, os fluxos de áudio pretendido para o local alto-falantes podem ser interceptadas pelo dispositivo e gravados.
Hidden Private Networks that bypass the corporate network security: Um computador que está prestes a ser espionado pode se conectar a uma legítima rede corporativa que é rigorozamente monitorada para atividades de malware e, ao mesmo tempo, pertence a uma rede wi-fi privada fora da rede da empresa, que é o vazamento de informações confidenciais em um computador do funcionário. Um computador como este é facilmente definido como um duplo-agente no departamento de TI, por instalar uma segunda placa de rede sem fio em um computador e um software especial para monitorar remotamente um computador do funcionário através desta segunda placa de interface, sem ter conhecimento que há a comunicação e troca de informações de seu computador.
Camera: o dispositivo de câmeras pode ser ativado a fim de, secretamente, capturar e imagens ou vídeos.
Keylogger e Mouse Logger: o malware pode capturar todas as teclas, o movimento do mouse, e cliques do usuário de destino. Combinado com a captura de tela, isso pode ser usado para obter senhas que são digitadas em um teclado virtual.
Screen Grabber: o malware pode realizar periódicas capturas de tela. Além de mostrar informações confidenciais que não podem ser armazenados na máquina, tais como saldos de e-banking, e criptografia de web mail, estes podem ser usados em combinação com a Keylogger e Mouse Logger para registrar os dados para determinar as credenciais de acesso para outros recursos da Internet.
Encryption: dados coletados geralmente são criptografados, no momento da captura, pode ser transmitido ao vivo ou armazenados para posterior vazamento. Da mesma forma, é prática comum em cada operação específica o uso de uma criptografia específica e polimórfica, utilizada pelos agentes de ciber-coleta, a fim de garantir que a detecção em um local não irá comprometer os demais.
Bypass Encryption: Quando malware opera no sistema de destino com todos os acesso e direitos para a conta de usuário de destino ou o administrador do sistema, a criptografia é ignorada. Por exemplo, a interceptação de áudio usando o microfone e saída de áudio de dispositivos, permite que o malware capture para ambos os lados de um criptografia, chamada de Skype.^[12]
Exfiltration: Cyber-agentes de coleta, geralmente, infiltram-se nos dados a serem capturados de uma forma discreta, muitas vezes esperando por um alto tráfego da web e para disfarçar a transmissão, como uma navegação segura na web. USB flash drives têm sido utilizados para a evasão de informações de sistemas protegidos do air gap. A invasão de sistemas, muitas vezes, envolvem o uso de proxy reverso, sistemas como o receptor de dados.^[13]
Replicate: os Agentes podem se replicar em outros meios de comunicação ou sistemas, por exemplo, um agente pode infectar arquivos em um compartilhamento de rede gravável ou instalar-se em unidades USB para infectar computadores protegidos por um air gap.
Manipulate Files and File Maintenance: Malware pode ser usado para apagar vestígios de si mesmo a partir de arquivos de log. Ele também pode baixar e instalar módulos ou atualizações, bem como arquivos de dados. Esta função também pode ser usado para adicionar "provas" no sistema de destino, por exemplo, para inserir a pornografia infantil no computador de um político ou manipular votos em uma votação electrónica.
Combination Rules: Alguns agentes são muito complexos e são capazes de combinar as características acima, a fim de fornecer um altíssimo nível de absorção de informação e recursos. Por exemplo, o uso de GPS e microfone podem ser usados para transformar um smart-phone em um smart-bug que intercepta conversas apenas dentro do escritório de um alvo.

Referências

↑ Pete Warren, State-sponsored cyber espionage projects now prevalent, say experts, The Guardian, August 30, 2012
↑ Nicole Perlroth, Elusive FinSpy Spyware Pops Up in 10 Countries, New York Times, August 13, 2012
↑ Kevin G. Coleman, Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? Arquivado em 8 de julho de 2012, no Wayback Machine., AOL Government, July 2, 2012
↑ Rachael King, Operation High Roller Targets Corporate Bank Accounts, June 26, 2012
↑ Frederic Lardinois, Eugene Kaspersky And Mikko Hypponen Talk Red October And The Future Of Cyber Warfare At DLD, TechCrunch, January 21, 2013
↑ Mark Prigg, The hunt for Red October: The astonishing hacking ring that has infiltrated over 1,000 high level government computers around the world, Daily Mail, January 16, 2013
↑ Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones,, Bloomberg, August 29, 2012
↑ «FinFisher IT Intrusion». Consultado em 4 de dezembro de 2016. Arquivado do original em 15 de outubro de 2013
↑ Hacking Team, Remote Control System
↑ Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control, Information Week, 9 October 2012
↑ Ryan Gallagher, Cyberwar’s Gray Market, Slate, 16 Jan 2013
↑ Daniele Milan, The Data Encryption Problem, Hacking Team
↑ Robert Lemos, Flame stashes secrets in USB drives Arquivado em 15 de março de 2014, no Wayback Machine., InfoWorld, June 13, 2012

[guardian1-1] Pete Warren, State-sponsored cyber espionage projects now prevalent, say experts, The Guardian, August 30, 2012

[nytimesfin-2] Nicole Perlroth, Elusive FinSpy Spyware Pops Up in 10 Countries, New York Times, August 13, 2012

[AolTech-3] Kevin G. Coleman, Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? Arquivado em 8 de julho de 2012, no Wayback Machine., AOL Government, July 2, 2012

[HighRoller-4] Rachael King, Operation High Roller Targets Corporate Bank Accounts, June 26, 2012

[CrunchOctober-5] Frederic Lardinois, Eugene Kaspersky And Mikko Hypponen Talk Red October And The Future Of Cyber Warfare At DLD, TechCrunch, January 21, 2013

[SundayOctober-6] Mark Prigg, The hunt for Red October: The astonishing hacking ring that has infiltrated over 1,000 high level government computers around the world, Daily Mail, January 16, 2013

[BloomFinFisher-7] Vernon Silver, Spyware Matching FinFisher Can Take Over IPhones,, Bloomberg, August 29, 2012

[finfisher-8] «FinFisher IT Intrusion». Consultado em 4 de dezembro de 2016. Arquivado do original em 15 de outubro de 2013

[hackingteam-9] Hacking Team, Remote Control System

[iw-10] Mathew J. Schwartz, Weaponized Bugs: Time For Digital Arms Control, Information Week, 9 October 2012

[slate-11] Ryan Gallagher, Cyberwar’s Gray Market, Slate, 16 Jan 2013

[Milan-12] Daniele Milan, The Data Encryption Problem, Hacking Team

[FlameUSB-13] Robert Lemos, Flame stashes secrets in USB drives Arquivado em 15 de março de 2014, no Wayback Machine., InfoWorld, June 13, 2012

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]