O grupo de hackers Shadow Brokers, o mesmo que vazou várias ferramentas de hackers da NSA, a Agência de Segurança Nacional dos EUA, está voltando às manchetes ao anunciar que vai publicar outros exploits da NSA, para seus assinantes do “serviço de dump mensal”. O exploit se chama UNITEDRAKE, e é segundo os hackers um “sistema de coleta remota totalmente extensível”, que vem com vários “plugins”, permitindo que os atacantes controlem remotamente os computadores Windows atingidos. Preço para ter acesso ao ‘dump’ de setembro: o equivalente a US$ 125 mil, pagos com 500 unidades da criptomoeda Zcash.
Talvez você não saiba o que é esse grupo de hackers “Shadow Brokers”. Mas provavelmente se lembrará de que no dia 12 de Maio deste ano houve um gigantesco ataque do worm Wannacry, que atingiu e sequestrou os dados de uns 230 mil dispositivos pelo mundo. Não se sabe até agora quem disparou o Wannacry, mas sabe-se que o Shadow Broker foi o grupo que publicou na internet as ferramentas utilizadas pelo Wannacry para invadir as máquinas naquele dia – as vulnerabilidades Eternal Blue e Double Pulsar.
Essas são ferramentas de espionagem, que tanto poderão estar sendo compradas por criminosos quanto por bandidos – o Shadow Brokers não pergunta quem está comprando. Ele apenas vende.
De acordo com o manual do usuário já vazado, o UNITEDRAKE é um malware modular customizável com a capacidade de capturar a saída de webcam e microfone, uso do teclado, acesso a drives externos e muito mais, para espionar seus alvos. A ferramenta é formada por cinco componentes – o servidor (um posto de escuta), a interface de gerenciamento do sistema (SMI), o banco de dados (para armazenar e gerenciar informações roubadas), os módulos de plug-in (permitir que as capacidades do sistema sejam estendidas) e cliente (o implante).
UNITEDRAKE apareceu inicialmente em 2014, como parte dos documentos classificados da NSA vazados por Edward Snowden.
Os documentos de Snowden sugeriam que a agência tenha usado a ferramenta juntamente com outras peças de malware, incluindo CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK e SALVAGERABBIT, para infectar milhões de computadores em todo o mundo.
O CAPTIVATEDAUDIENCE serve para gravar conversas através do microfone do computador infectado
O GUMFISH é para controlar secretamente a webcam de um computador e tirar fotografias
O FOGGYBOTTOM, para extrair dados da Internet como históricos de navegação, detalhes de login e senhas
O GROK é um trojan de Keylogger para capturar o uso do teclado
O SALVAGERABBIT é para acessar dados em unidades USB do computador infectado.