Os atacantes têm como alvo os utilizadores do GitHub desde Janeiro e usam malware de roubo de informações chamado Dimnie.
Nos últimos meses, os programadores de open source que publicam o seu código no GitHub têm sido alvo de uma campanha de ataques, baseada em software de ciberespionagem pouco conhecido, mas potente. A ofensiva começou em Janeiro, mas tem escapado à vigilância segmento de segurança.
Envolve o envio de e-mails maliciosos especificamente criados para atrair a atenção dos programadores, com pedidos de ajuda, projectos de desenvolvimento e ofertas de pagamento para trabalhos de programação à medida.
Os emails vêm com ficheiros .gz anexados contendo documentos de Word com código nocivo anexado. Se for permitido executar, o código de macro executa um script do PowerShell que procura uma ligação a um servidor remoto, para descarregar o malware Dimnie.
De acordo com investigadores da Palo Alto Networks o software existe desde pelo menos desde 2014. Mas tem escapado aos rastreios de entidades de cibersegurança até agora, por visar principalmente utilizadores da Rússia.
O malware usa algumas técnicas furtivas para fazer o seu tráfego malicioso misturar-se na actividade do profissional atingido. Gera solicitações que parecem direccionadas a nomes de domínio pertencentes à Google. Mas na realidade são enviadas para um endereço IP controlado pelos intrusos.
Os dados roubados de um computador infectado são cifrados e anexados aos cabeçalhos de imagens, numa forma de contornar os sistemas de prevenção de intrusão.
O Dimnie é capaz de baixar módulos nocivos adicionais, injectados directamente na memória de processos legítimos do Windows. Esses componentes não deixam vestígios no disco e isso torna a sua detecção e análise mais complicadas, afirmam os investigadores da Palo Alto, num blogue.
Existem módulos para registo de digitações (“keylogging”), captação da imagem de ecrã, interacção com “smartcards” anexados ao computador e muito mais. Até apresenta uma unidade para autodestruição do software, preparada para eliminar todos os ficheiros do disco, a fim de destruir vestígios da presença do malware.
Os dados roubados de um computador infectado são cifrados e anexados aos cabeçalhos de imagens, numa forma de contornar os sistemas de prevenção de intrusão. Apesar de a Palo Alto Networks não atribuir esses ataques a um determinado grupo, o malware tem semelhanças com o de outros ataques recentes, suspeitos de serem patrocinados por Estados.
Esse conjunto inclui o uso de documentos com macros maliciosas, o uso do PowerShell, o carregamento de código malicioso directamente na memória, o uso de canais furtivos de comando e controlo, técnicas de extracção de dados, campanhas de phishing altamente direccionadas, entre outros.
Depositários de conteúdo valioso e estratégico
Os programadores podem ser alvos valiosos para a ciberespionagem. Os seus computadores têm muitas vezes informações de propriedade intelectual. Além disso, disponibilizam elementos de autenticação para acesso a redes e sistemas de seus empregadores.
Em resposta a uma notificação sobre esses emails em Janeiro, Gervase Markham, engenheiro de políticas na Mozilla, disse que recebeu várias dessas mensagens num endereço de email que só usava no Github. Isso fê-lo acreditar que os envios de email podem estar a ser automatizados.
Com acesso a repositórios de código fonte e servidores de distribuição, os intrusos podem injectar portas de entrada dissimuladas (“backdoors”) em projectos de software. Ou até transformar o software compilados em “cavalos de Tróia”, o que já aconteceu várias vezes no passado.