O
malware conhecido como ZeuS e seu criador estão no topo do crime cibernético há
quase uma década
Bloomberg 22
jun. 2015 - Infomoney - Reportagem de Dune Lawrence Traduzido por Paula Zogbi
(SÃO PAULO)
– Em qualquer epidemia global, é importante identificar o primeiro infectado.
Nos filmes, você encontra Gwineth Paltrow. Na epidemia eletrônica de nove anos
de idade que ajudou a criar o crime cibernético como o conhecemos, você
encontra “fliime”.
Esse foi o
nome usado por alguém que compareceu ao fórum online Techsupportguy.com no dia
11 de outubro de 2006 às 2h24 da manhã, dizendo que havia encontrado algum
código defeituoso no computador de sua irmã. “Alguém poderia, por favor, dar
uma olhada nisso? ”, ele escreveu.
Fliime
provavelmente não sabia que estava fazendo história. Mas o programa malicioso
que estava no PC era uma coisa nova, capaz de sugar mais logins de usuários e
senhas em um dia do que os competidores faziam em semanas. Com diversas
melhorias, o malware e suas crias transformaram os roubos de bancos virtuais –
transformando milhões de computadores em redes globais zumbis controladas por
criminosos. Estimativas conservadoras do alcance desse sistema atingem
facilmente centenas de milhões de dólares.
Investigadores
que estudam o código conheciam seu criador apenas através de apelidos que
mudavam com quase tanta frequência quanto o próprio malware: A-Z, Montsr, Slavik,
Pollingsoon, Umbro, Lucky1235. Mas o criador do código misterioso deu ao
produto um nome com poder de fixação: ZeuS. Como o deus da mitologia grega,
esse ZeuS procriava descendentes poderosos – e tornou-se um estudo de caso da
indústria moderna do cyber crime.
Essa é a história de um código terrível, e da
caçada por seu criador.
Alguns meses
antes da estreia do ZeuS no computador da irmã de fliime, Don Jackson conseguiu
seu emprego dos sonhos na Dell SecureWorks, uma armadura de segurança
eletrônica que trabalha com o governo dos EUA e grandes companhias. Ele havia
passado os oito anos anteriores trabalhando com segurança de informações na
Blue Cross Blue Shield em Atlanta. Foi como passar de segurança de bairro para
tornar-se um membro de elite da SWAT.
Jackson,
nascido no Alabama e dono de voz calma e nenhuma prepotência, veio bem
preparado. Além de seu trabalho durante o dia, ele tinha a missão de aprender
sozinho a ler e escrever em russo e havia começado a frequentar fóruns
eletrônicos populares entre criminosos, fingindo ser um desenvolvedor de
códigos maliciosos.
Nesses
fóruns, o ZeuS foi uma sensação imediata. Jackson nunca havia visto tanto
interesse por um novo malware. Escrever softwares maliciosos não é mais fácil
do que criar softwares legítimos. Cometa um escorregão e as vítimas perceberão
que foram infectadas, com computadores lentos, mal funcionamento de programas e
quebras de sistemas inteiros. O ZeuS funcionava com perfeição, diz Jackson.
Além disso, seu autor mantinha um ritmo fervoroso nas melhorias do programa.
“Era um
best-seller”, disse Jackson. “As pessoas amavam. Era um projeto vivo de
códigos, e tinha todas as melhores ferramentas possíveis”.
Em meados de
2007, o ZeuS havia evoluído para algo como um software empresarial, unindo
todas as ferramentas para uma operação de roubo virtual. Crucialmente, o pacote
incluía funcionalidades para rastrear e administrar máquinas infectadas,
facilitando a construção de redes-zumbi. Os chamados botnets são a base de
fraudes virtuais de todos os tipos. Eles não são apenas fontes de dados de cada
um dos computadores; mas também uma força multiplicadora que hackers podem usar
para liberar ondas de spam e de trafego para fechar determinados sites.
Dentro de um
ano após a primeira aparição, o software estava desenvolvendo maneiras de
enganar caçadores de malware – humanos como Jackson ou programas antivírus. Uma
vez dentro de um computador, o ZeuS criava seu próprio código, alterando
padrões que os antivírus procurariam. Os hackers também podiam ligar uma
ferramenta que envia dados roubados através de “servidores proxy” – locações
falsas que escondem o percurso e o destino reais e dificultam a tarefa de
rastreamento.
Jackson
descobriu tudo isso rastreando clientes da SecureWorks infectados e pedindo a
ajuda da companhia, enviando amostras de códigos que ele desconstruiu e
analisou. Em junho de 2007, ele começou a perceber o escopo da questão: apenas
duas gangues estavam coletando mais de um gigabyte, ou cerca de um bilhão de
caracteres, de dados roubados de 10.000 máquinas diariamente, como escreveu em
um relatório naquele mês.
“Ninguém
sabe quantas pessoas adquiriram o código malicioso, quantos ataques estão em
curso e quantos estão sendo planejados”, escreveu Jackson. “Enquanto isso,
usuários domésticos e corporativos estão perdendo informações sensíveis através
dos gygabites”.
A situação
piorou rapidamente, ainda que poucas pessoas além de Jackson e seus colegas
percebessem isso. Boa parte do universo da tecnologia estava ocupada com o
iPhone, que a Apple lançou no dia 29 de junho de 2007. Quase imediatamente, os
consumidores começaram a receber e-mails prometendo links para ganhar capas
protetoras de iPhone. Aqueles que clicavam acabavam com a última versão do ZeuS
instalada nos seus computadores. Quando Jackson colocou as mãos no novo código,
não pôde acreditar no que via.
O novo
código permitia que os hackers entrassem no meio de uma sessão de navegação de
operações bancárias. Primeiro, eles vasculhavam dados roubados para identificar
máquinas infectadas que tinham acesso a contas bancárias comerciais, onde
transações ainda maiores não levantariam suspeitas. Em qualquer momento que uma
máquina dessa entrasse em um site bancário, o hacker poderia ver em uma
interface administrativa que vinha junto com o kit do ZeuS e se infiltrava na
sessão verdadeira.
A vítima
poderia ver na sua tela uma mensagem falando sobre atrasos relacionados a
manutenção ou um aviso pedindo por uma senha ou um documento, enquanto o hacker
usava o acesso roubado para limpar a conta. Era um pesadelo para a segurança
bancária; as vítimas tinham realizado o acesso às contas, então a navegação
parecia 100% legítima.
Malwares
competidores tentavam a mesma coisa com credenciais roubadas, mas se deparavam
com alertas de fraude quando não conseguiam imitar com perfeição as ações
humanas, de acordo com Jackson. Esse código era claramente trabalho de um
programador sério, alguém que trouxe um novo nível de rigor à criação de
malware.
Jackson
soube que alguém que dizia ser o criador do ZeuS estava em um fórum particular
chamado Maxafaka, usando o nome A-Z. Sob o pretexto de comprar produtos ZeuS, o
investigador começou a se corresponder com ele. A-Z tinha um barco e gostava de
navegar, descobriu Jackson, e desejava um Mercedes-Benz. O hacker mencionou uma
universidade em Moscou, mas não ficou claro se ele possuía treinamento formal
ou um emprego legítimo.
O produto
era caro, cerca de US$3.000 pelo modelo básico, com ferramentas adicionais que
custariam ainda mais dinheiro. Naquele verão, clientes que esperavam um serviço
compatível com o preço apareceram em números enormes. Quadros de mensagens
lotaram de reclamações sobre a falta de compromisso de A-Z, e os concorrentes
começaram a fazer engenharia reversa no código, colocando cópias mais baratas
ou gratuitas. Em agosto de 2007, A-Z anunciou online que estava fechando as
compras do ZeuS.
Foi um
blefe. O ZeuS ressurgiu em 2008 com algo raro no universo caótico dos vírus: um
acordo para o consumidor. Não redistribuir, não estudar o código, não enviá-lo
a companhias antivírus. Não está claro se alguém chegou a quebrar essas regras,
nem se o fabricante do ZeuS já culpou alguém disso, mas a medida sinalizava que
ele estava falando sério sobre proteger seu IP. Em 2009, a proteção do malware
havia evoluído ao nível de uma licença de hardware: cada comprador obtinha um
arquivo criptografado que poderia ser aberto apenas com uma chave exclusiva
para o seu computador. Não haveria divisões.
Ninguém
sabia se esse ZeuS era resultado do trabalho do mesmo hacker que o apresentou
originalmente. Mas a busca por inovação continuou. Usando os apelidos Monstr e
Slavik, o autor circulava novas ferramentas-teste apenas a um grupo confiável
de clientes. Ele trabalhava principalmente com uma gangue chamada JabberZeuS,
criada depois que o código incorporou um módulo de mensagens baseado no
software Jabber, que enviava credenciais roubadas em tempo real através de um
chat. A essa altura, os hackers também tinham a opção de controlar virtualmente
o computador de uma vítima – algo parecido com o controle que um suporte
fornece quando o seu computador está quebrado. Essa ferramenta adicional,
sozinha, custava US$10.000, o preço para acessar configurações de alta
segurança que requeriam que qualquer atividade bancária venha de um computador
predeterminado.
A
coreografia pode ser complexa, mas era extremamente efetiva. Em Bullet County,
hackers do JabberZeuS infectaram o computador do tesoureiro do município,
roubando login e senha da conta bancária do município inteiro, bem como o
e-mail de contato – o que significa que os códigos de segurança seriam enviados
diretamente aos criminosos. Eles adicionaram funcionários fictícios à folha de
pagamento, e então autorizaram transferências automáticas a esses trabalhadores,
arrecadando mais de US$400.000, de acordo com documentos de um processo
judicial mais tarde. Mulas de dinheiro – pessoas contratadas para fingirem ser
os funcionários falsos recebendo os salários falsos – pegavam o dinheiro e
levavam embora.
Uma companhia
de segurança, a Damballa, estimou que o ZeuS havia infectado 3,6 milhões de
computadores nos EUA em 2009, tornando-se a maior ameaça bonet de todas. O
botnet JabberZeuS foi responsável naquele ano por ao menos US$100 milhões em
perdas bancárias, mais do que todos os crimes contra bancos tradicionais
juntos, de acordo com a SecureWorks.
Em maio de
2009, uma onda de pagamentos eletrônicos fraudulentos chamou a atenção do FBI.
A investigação subsequente, nomeada de Operation Trident Breach, encontrou uma
longa lista de vítimas, incluindo uma irmandade de freiras franciscanas em
Chicago e Egremont. Demorou um ano e meio, mas no dia 30 de setembro de 2010,
policiais nos EUA, Ucrânia e Reino Unido prenderam ou detiveram mais de 150
pessoas.
As prisões
foram parte de uma constelação acerca de uma gangue ucraniana que invadiu
computadores de 390 empresas dos EUA e usou mais de 3.500 mulas de dinheiro, de
acordo com o FBI. Isso dito, contas bancárias de vítimas foram atingidas em
US$70 milhões.
Durante a
investigação do JabberZeuS, Jackson descobriu uma dica importante – não sobre
quem seria o criador do código, mas ao que ele seria. Jackson encontrou um
computador que havia sido usado como um centro de controle botnet temporário.
Nele havia a foto de um homem usando óculos escuros exibindo três dedos no
peito. Atrás dele, visível através de janelas em uma rua, estava uma palmeira.
Jackson enviou a imagem a um pesquisador da Força Aérea que ele conhecia. Um
mês depois, a resposta veio: aparentemente a foto havia sido tirada em Anapa,
na Rússia uma cidade turística no Mar Negro.
O autor do
programa não estava entre os presos, mas dias após a tomada da polícia, o
universo do crime eletrônico sofreria outro choque: ZeuS e seu maior
concorrente, o SpyEye, planejavam uma fusão. O criador do SpyEye, conhecido
como Harderman ou Gibodemon, ganhara notoriedade removendo seu malware como
“matador do ZeuS”. Agora ele anunciava que compraria o rival.
“Bom dia! ”,
ele postou em russo em um fórum de mercado negro. “Eu passarei a promover o
produto ZeuS a partir de hoje. Consegui os códigos fontes sem cobranças, para
que clientes que o comprem não fiquem sem apoio tecnológico. Slavik não suporta
mais o produto (...) ele me pediu que dissesse que foi bom trabalhar com todos
vocês”.
Foi um
truque de desaparecimento efetivo, ainda que o acordo tenha durado pouco. Em
maio de 2011, o código fonte do ZeuS vazou na internet. Alguns pesquisadores
acreditam que Gribodemon esteve por trás do vazamento, alguns teorizam que foi
o próprio autor do ZeuS. Por acidente ou de propósito, ZeuS agora era de fato
um projeto de código aberto – e isso acabou sendo uma ótima estratégia de
negócio, diz Sean Sullivan, conselheiro de segurança na F-Secure.
Antes, o
autor do ZeuS tinha um negócio que não poderia crescer sem que ele mesmo se
tornasse alvo fácil para a lei. O vazamento permitiu que ele focasse em novos
empreendimentos rentáveis, enquanto os investigadores se distraíam com a nova
onda do ZeuS.
“Agora os
investigadores não conseguem encontrar as árvores na floresta”, disse Sullivan.
A
reviravolta para o criador do ZeuS tomou forma em um empreendimento privado de
botnet que começou a chamar a atenção no final de 2011. Em vez de vender o
malware para que criminosos construíssem seu próprio botnet, ele e sua nova
gangue construíram seu próprio, e alugavam partes dele a outros criminosos por
uma taxa. Dessa forma, o coder poderia tornar-se administrador de seu próprio
botnet e controlar a segurança da operação sozinho.
Em janeiro
de 2012, o FBI emitiu um aviso para que companhias tomassem cuidado com uma
nova variante do ZeuS que se espalhava através de e-mails que alegavam ser de
agências do governo norte-americano, como o Fed e o FDIC. O malware era chamado
“apropriadamente de ‘Gameover’”, de acordo com o FBI, porque “uma vez que ele
entrasse na sua conta bancária, definitivamente era o fim do jogo”. O vírus
tinha algumas novas funcionalidades, como lançar ataques de “serviço negado”
para distrair a segurança bancária e atrasar a descoberta de transações
fraudulentas. Em julho, o Gameover estava em estimados 1,6 milhão de
computadores.
Conforme os
bancos ficavam melhores em se defender do ZeuS, a gangue do Gameover
desenvolveu um novo modelo de mercado para complementar os roubos a bancos: o
resgate.
O novo
vírus, distribuído através de spams, enviava o botnet do Gameover e apareceu em
2013. Pessoas desavisadas que clicavam no link recebiam uma mensagem
assustadora: todos os seus arquivos foram criptografados; pague um resgate de
muitos dólares ou nunca terá acesso a eles novamente. Outras formas de vírus de
resgate eram essencialmente grandes blefes – os arquivos estavam bem. Mas essa
versão, chamada Cryptolocker, não era, e os pesquisadores não encontraram uma
maneira de destruí-la.
Por dois
anos o FBI viu esse botnet crescer sem ter ideia de como contra-atacar, diz
Thomas Grasso, agente especial supervisor na divisão cibernética do FBI.
Parecia que os criminosos haviam construído um forte indestrutível.
Nos botnets
ZeuS anteriores, o link mais fraco era o comando e controlava servidores
através de comandos enviados pelos hackers aos computadores, os quais
reenviavam os dados. Esses servidores davam aos investigadores algo como um
endereço fixo para perseguir, geralmente através de nomes de domínios e códigos
dentro dos softwares maliciosos. O Gameover escondia os centros de comando
constantemente mudando suas localizações na internet e separando o tráfico em
até 2.000 servidores proxy. O Gameover também desenvolveu uma estrutura
descentralizada: computadores infectados poderiam passar comandos entre si, em
vez de cada um se comunicar separadamente com um servidor de comando.
“Eles
estudavam as coisas que as pessoas boas haviam feito no passado, tanto a lei
quanto setor privado, para afetar os botnets, e com esse conhecimento buscaram
fazer algo impermeável”, diz Grasso. “Honestamente, nós achávamos que era mesmo”.
Um documento
judicial revelado naquele dia mostrou que ele havia sido traído não por seu
código, mas por um humano. Ele entregou ao FBI um endereço de e-mail usado pelo
administrador do GameOver ZeuS. Isso os levou a Evgeniy Mikhailovich Bogachev,
homem de 30 anos com os cabelos raspados.
Outras
pessoas caíram, uma a uma, nas mãos da lei. Os EUA pegaram o autor do SpyEye,
Aleksandr Panin, quando ele esteve no aeroporto de Atlanta em julho de 2013.
Ele confessou o crime, e aguarda a sentença – talvez de até 30 anos. Nenhum dos
dois pôde ser encontrado para entrevistas.
Em
fevereiro, o FBI anunciou uma recompensa de US$3 milhões por informações que
pudessem levar à sua prisão, maior valor já posto em um criminoso virtual.
“Não vamos
permitir que pessoas cometam crimes e se safem só porque é difícil
capturá-las”, diz David Hickton, advogado dos EUA para o distrito da
Pensilvânia, onde as acusações começaram.
Enquanto
isso, o ZeuS tornou-se um presente permanente ao submundo virtual. A
SecureWorks documentou ataques que tiveram mais de 1.400 instituições
financeiras como alvos, em mais de 80 países – isso entre 2014 até março de
2015. Desde o vazamento do código, quase todos os malwares bancários
incorporaram suas ferramentas, de acordo com a SecureWorks.
Jackson
mudou-se para Charleston no ano passado para se torna diretor de inteligência
contra ameaças na PhishLabs, outra companhia de cybersegurança. Em junho
passado, logo depois da descoberta, ele ficou maravilhado com a habilidade do
autor de escapar da captura.
“Criar uma
ferramenta que pode ser responsável desde a sua concepção por um bilhão de
dólares em danos, e ainda assim fugir da prisão apesar de tudo o que aconteceu,
é simplesmente incrível para mim”, ele disse.