Nesta semana, a empresa de segurança Kaspersky alertou sobre um ataque em massa do grupo Regin que estaria afetando estações radiobase de redes GSM em vários países, incluindo o Brasil. Mais alarmante ainda é a constatação da companhia russa de que o pacote de ameaças (também chamado de Regin) estaria em constante evolução e ainda em atividade, inclusive podendo afetar infraestrutura de redes com tecnologias mais recentes. Não necessariamente na internet móvel, mas nas comunicações mais tradicionais, afetando, por exemplo, redes WCDMA.
Segundo o diretor da equipe de pesquisa e análise do Kaspersky Lab na América Latina, Dmitry Bestuzhev, a infecção (o nome das ameaças são Trojan.Win32.Regin.gen e Rootkit.Win32.Regin) acontece nos dispositivos que gerenciam a rede, e não na camada de dados, o que significa que independe do protocolo utilizado se não houver uma atualização do hardware. “Esse cenário é ainda mais assustador, já que o atacante tem um controle completo sobre as torres de comunicação mais críticas e importantes do país”, disse ele, por e-mail, a este noticiário. “Por exemplo, permite transferir chamadas para outros números, registrar todas as chamadas e/ou mensagens SMS, e assim por diante.”
Bestuzhev declara que se trata de um ataque “altamente qualificado” e liderado por algum Estado-nação com interesses escusos, embora não cite qual país seja o responsável. “Os atores por trás do ataque desenvolveram um sistema modular muito bem estruturado que permite ajustá-lo para qualquer alvo, em qualquer lugar do mundo. Este sistema modular permite flexibilidade e também escalabilidade que, com certeza, pode ser usado na funcionalidade (de atualizar o software malicioso para continuar explorando as redes)”, explica. Da mesma forma, o analista de segurança da Kaspersky não divulga as operadoras brasileiras afetadas pelo ciberataque, já que “o inquérito não terminou ainda”.
******
Bruno do Amaral, do Teletime