Segundo a agência de notícias Reuters, o governo russo negou veementemente as afirmações da Ucrânia, Estados Unidos, outras nações e empresas de segurança cibernética de que o Kremlin está por trás de um programa global de hackers, que incluiu tentativas de prejudicar a economia da Ucrânia e interferir na eleição presidencial dos EUA em 2016.
O alerta sobre o malware – que inclui um módulo voltado para redes industriais como as que operam a rede elétrica – será amplificado por alertas de membros da Cyber Threat Alliance (CTA), um grupo sem fins lucrativos que promove a troca rápida de dados sobre novas ameaças entre rivais na indústria de segurança cibernética.
Os membros incluem a Cisco, a Check Point Software, a Fortinet, a Palo Alto Networks, o Sophos Group e a Symantec. "Devemos levar isso muito a sério", disse o presidente-executivo do CTA, Michael Daniel, em uma entrevista.
A Cisco compartilhou detalhes técnicos sobre o VPNFilter com o grupo nesta segunda-feira, 21. Enquanto VPNFilter infecta roteadores e dispositivos de armazenamento conectados à Internet usados em escritórios domésticos e pequenos escritórios, o exército de dispositivos comprometidos pode ser usado para lançar ataques coordenados em alvos muito maiores, disse Williams.
Embora os dispositivos infectados estejam espalhados por pelo menos 54 países, a Cisco diz que os hackers estão atacando a Ucrânia após um surto de infecções no país em 8 de maio, disse Williams à Reuters.
Os pesquisadores decidiram tornar público o que sabem sobre a campanha, porque temiam que o aumento da ameaça na Ucrânia, que tem o maior número de infecções, significasse que Moscou está se preparando para lançar um ataque no próximo mês, possivelmente na mesma época em que o país celebra o Dia da Constituição, em 28 de junho, disse Williams.
Alguns dos maiores ataques cibernéticos na Ucrânia foram lançados nos feriados ou nos dias que antecederam a eles. Isso inclui o ataque "NotPetya" de junho de 2017 que desativou os sistemas de computadores na Ucrânia antes de se espalhar pelo mundo, bem como os ataques à rede elétrica do país em 2015 e 2016 que ocorreram pouco antes do Natal.
O VPNFilter dá aos hackers acesso remoto a máquinas infectadas, que podem ser usadas para espionagem, lançando ataques em outros computadores ou fazendo o download de tipos adicionais de malware, disse Williams.
A Cisco descobriu cerca de 500 mil dispositivos infectados, mas acredita que o número real pode ser muito maior. Os pesquisadores identificaram um módulo de malware que tem como alvo computadores industriais, como os usados ??em redes elétricas, outras infraestruturas e fábricas. Ele infecta e monitora o tráfego de rede, procurando por credenciais de login que um hacker pode usar para assumir o controle de processos industriais, afirma Williams.
O malware também inclui um recurso de autodestruição que os hackers podem usar para excluir o malware e outros softwares nos dispositivos infectados, tornando-os inoperáveis, disse ele. VPNFilter é nomeado após um diretório que o malware cria para ocultar seus arquivos em um dispositivo infectado.
