Hackers invadiram site e utilizaram falha do Chrome para ganhar acesso aos sistemas. Hackers atacaram site e deixaram código que invadia dispositivos com Android e Windows. Vivek Chugh/Freeimages Os especialistas do Projeto Zero e do Grupo de Análise de Ameaças do Google publicaram um relatório técnico que descreve como hackers tentaram atacar usuários de Android e Windows usando um código altamente sofisticado e vulnerabilidades que, à época, não estavam corrigidas. Os ataques foram identificados pelo Google no início de 2020, mas as equipes da empresa se dedicaram por meses para analisar o funcionamento do código de ataque. As brechas no Chrome foram corrigidas pelo Google em fevereiro, enquanto as falhas do Windows ficaram abertas até abril, quando a Microsoft disponibilizou uma atualização para o sistema. Os hackers recorreram a um método de ataque conhecido como "watering hole". Essa é uma tática em que os invasores adulteram um site que o alvo costuma visitar para que, na próxima visita, o site tenha sido alterado para executar um código de ataque no dispositivo da vítima. O "watering hole" se diferencia de outras técnicas, como o phishing, por não haver um contato direto com o alvo para direcioná-lo ao site ou arquivo contendo o programa malicioso. Em vez disso, o hacker atinge um site legítimo. A vítima não precisava baixar nenhum arquivo ou programa. Bastava visitar o site para ter o computador ou celular hackeado. O relatório do Google destaca que os responsáveis pelo ataque tinham grande capacidade técnica. Eles desenvolveram um código complexo e bem projetado, com vários métodos de exploração inovadores e técnicas bem calculadas, inclusive para evitar a análise dos peritos. Os especialistas também observaram que o código realizava diversas checagens para garantir que apenas os alvos corretos seriam espionados – o que normalmente é muito importante em ataques do tipo "watering hole", já que o site pode ter muitos visitantes que não fazem parte da lista de alvos. No entanto, não foi revelado quem teria sido o alvo dessa operação, nem o endereço do site que foi adulterado pelos hackers. Brechas no Chrome, Windows e Android Quando a página era visitada por um dos alvos, o navegador baixava um código de ataque colocado na página pelos hackers. Esse código explorava uma vulnerabilidade no navegador Chrome, ou então falhas no Windows que poderiam ser exploradas por meio do navegador, para violar a barreira que existe entre os sites e o sistema operacional. O código, que já havia determinado o sistema operacional da vítima, tentava então aprofundar o acesso ao sistema explorando mais vulnerabilidades. No Windows, era usada uma falha inédita (o que os especialistas chamam de "dia zero") e que funcionava no Windows 10. No Android, os invasores usavam falhas conhecidas e corrigidas, com códigos de ataque baseados em amostras públicas. Ou seja, a exploração não era realizada com o mesmo nível de sofisticação do que o ataque contra o Windows. Contudo, os especialistas do Google acreditam que os responsáveis pela operação tinham capacidade técnica para localizar e explorar falhas inéditas também no Android, mas que teriam optado por usar ferramentas públicas neste caso. Uma possibilidade é a de que os hackers já sabiam que seus alvos não estavam usando um smartphone recente com Android atualizado, eles havia benefícios em usar falhas mais recentes. Outra hipótese levantada pelo Google é a de que códigos de ataques mais sofisticados eram usados apenas em casos específicos, que os especialistas não conseguiram simular. Nesse caso, os hackers estavam reservando suas maiores capacidades para quando elas eram necessárias. Como muitos aparelhos com Android estão com software defasado, é possível atacar usuários sem utilizar brechas muito recentes. Google e Qualcomm anunciam mudança para viabilizar até 4 anos de atualização para celulares Android As vulnerabilidades eram utilizadas para obter acesso de superusuário (ou "root") no Android e instalar um programa de acesso remoto com permissão para realizar qualquer atividade e ler qualquer arquivo no sistema. O código então entra em contato com um servidor de controle para receber comandos ou programas que serão executados diretamente no dispositivo. Assim, os invasores tinham flexibilidade total para fazer o que quisessem nos celulares atacados. O Google não forneceu informações sobre o que de fato acontecia com os aparelhos após este estágio. Em alguns casos, não é possível determinar exatamente como o ataque continua, já que os responsáveis detectam um alvo inválido e interrompem o curso normal da ação. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com Dicas de segurança digital 5 dicas de segurança para sua vida digital Saiba mais como se proteger na internet
