O Affair de Atenas

O ataque hacker perfeito? Certamente não, já que o incidente foi descoberto. Mas este caso na Grécia mostra o nível de sofisticação que um cyber-ataque pode chegar, especialmente quando ele é feito com motivações de segurança nacional.

Neste ataque um rootkit foi instalado dentro de quatro switches PBX da Vodafone, a maior operadora de telefonia celular da Europa. O malware redirecionava chamadas telefônicas de números específicos - incluindo do primeiro-ministro da Grécia - para outros telefones celulares, onde eles presumivelmente eram gravados.

Os detalhes técnicos são interessantes. Sem tomar conhecimento, um upgrade trivial de software instalou a capacidade de monitoração de chamadas telefônicas nestes switches, recurso que a Vodafone não tinha adquirido da Ericsson, fornecedora dos switches. No entanto o desafio para os espiões era utilizar este recurso sem que a atividade e os logs fossem percebidos pela monitoração da Vodafone. Para isso eles escreveram um rootkit para o switch, que encobria toda a atividade de monitoração (incluindo os próprios blocos de memória onde o malware executava), e que foi instalado e operado sem que o sistema de monitoração IMS tomasse conhecimento.

Como a maior parte dos rootkits, o ataque só foi descoberto quando mensagens de erro inesperadas vindas dos switches começaram a aparecer na monitoração da Vodafone. Sem que estes erros tivessem sido gerados, todo o ataque possivelmente passaria desapercebido até hoje. Ainda assim, até hoje não se sabe (pelo menos publicamente) quem foram os autores do ataque.

Boa parte dos ataques que vemos na Internet são limitados pela falta de recursos (materiais e técnicos) dos atacantes, gangues de criminosos com relativa pouca sofisticação. No entanto quando o ataque tem o patrocínio de um governo nacional o nível de sofisticação é completamente diferente, e assustador.