Os relatórios contemporâneos do Moonlight Maze mostram como, desde 1996, o exército dos EUA e as redes do governo, bem como as universidades, instituições de investigação e até o Departamento de Energia começaram a detetar quebras nos seus sistemas. Em 1998, o FBI e o Departamento de Defesa lançaram uma investigação massiva. A história tornou-se pública em 1999, mas muitas das provas mantiveram-se confidenciais, deixando os detalhes do Moonlight Maze envolvidos em mitos e segredos.

Com o passar dos anos, os investigadores originais de três países distintos afirmaram que o Moonlight Maze se desenvolveu para o Turla, um protagonista de uma ameaça russa também conhecido como Snake, Uroburos, Venomous Bear e Krypton. Acredita-se que o Turla esteja ativo desde 2007.

As “Amostras Guardadas”

Em 2016, enquanto fazia uma investigação para o seu livro, Rise of the Machines, Thomas Rid do Kings College London localizou um sistema administrador antigo cujo servidor da organização tinha sido desviado como proxy pelos hackers do Moonlight Maze. Este servidor, “HR Test”, tinha sido utilizado para lançar ataques contra os EUA. O agora reformado profissional de IT tinha guardado o servidor original e cópias de tudo o que estava relacionado com os ataques, tendo agora entregado ao Kings College e à Kaspersky Lab para análises futuras.

Os investigadores da Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, juntamente com Thomas Rid e Danny Moore do Kings College, passaram nove meses a realizar uma análise técnica e detalhada destas amostras. Reconstruíram as operações, ferramentas e técnicas dos hackers e conduziram uma investigação paralela para verificar se conseguiam provar a alegada ligação com Turla.

O Moonlight Maze era um ataque open-source e Unix-based direcionado para os sistemas Solaris, e as descobertas mostraram que talvez usasse um backdoor baseado no LOKI2 (um programa lançado em 1996 que permite aos utilizadores a extração de dados através de canais ilegais). Isto fez com que os investigadores olhassem uma segunda vez para algumas amostras Linux raras utilizadas pelo Turla que a Kaspersky Lab descobriu em 2014. Chamado Penquin Turla, estas amostras estão também baseadas no LOKI2. Mais: a reanálise mostrou que todos utilizavam um código criado entre 1999 e 2004. 

Surpreendentemente, este código continua a ser utilizado nos ataques. Foi localizado em 2011 quando foi encontrado num ataque no organismo de defesa Ruag na Suiça que foi atribuído ao Turla. Depois, em março de 2017, os investigadores da Kaspersky Lab descobriram uma nova amostra do backdoor Penquin Turla submetida de um sistema da Alemanha. É possível que o Turla utilize o antigo código para ataques a entidades de elevada segurança que possam ser mais difíceis de quebrar através da utilização do conjunto de ferramentas standard do Windows.

“No final da década de 90, ninguém previu o alcance e persistência de uma campanha coordenada de ciberespionagem. Precisamos de nos perguntar o porquê de os hackers continuarem a potenciar ataques atuais com códigos antigos. A análise do Moonlight Maze não é apenas um estudo arqueológico fascinante; é também um alerta de que os adversários com bons recursos não vão desaparecer, compete-nos a nós defender os sistemas com as competências apropriadas,” afirma Juan Andres Guerrero-Saade, Investigador de Segurança Sénior, Investigador Global e Membro da Equipa de Análise (GREAT) da Kaspersky Lab.

A nova descoberta dos ficheiros do Moonlight Maze mostram vários detalhes fascinantes sobre como os ataques eram conduzidos pelos hackers através da utilização de redes complexas de proxies, e elevados níveis de habilidade e ferramentas. 

youtube.com/watch?v=9RorL9y70GU