# Operation Ghost Click > [!high] 4 milhões de computadores sequestrados para fraude publicitaria - FBI desmonta rede em 2011 > A Operation Ghost Click foi a operação conduzida pelo FBI em novembro de 2011 para desmantelar a botnet DNSChanger operada pelo grupo estoniano Rove Digital. O esquema comprometeu cerca de 4 milhões de computadores em mais de 100 paises ao longo de quatro anos, gerando lucros estimados em 14 milhões de dólares através de manipulação de DNS para redirecionar trafego para anuncios fraudulentos. ## Visão Geral A Operation Ghost Click representa um dos maiores casos de fraude cibernetica via manipulação de DNS da historia, e um marco na cooperação internacional em investigacoes de cibercrime. O grupo Rove Digital, liderado pelo cidadao estoniano Vladimir Tsastsin, operou entre 2007 e 2011 uma infraestrutura sofisticada de servidores DNS maliciosos que substituiam as configuracoes DNS legitimas de milhões de computadores infectados pelo malware [[dnschanger]]. O esquema era técnicamente elegante em sua simplicidade: em vez de roubar credenciais bancarias ou criptografar arquivos, o grupo simplesmente controlava para onde as vitimas iam quando digitavam enderecos na internet. Ao substituir os servidores DNS configurados nos computadores infectados por servidores proprios, o Rove Digital podia redirecionar qualquer dominio - incluindo sites de busca como Google e Bing - para versoes modificadas que exibiam anuncios pagos pelo proprio grupo no lugar dos resultados organicos. A escala da operação foi extraordinaria para a epoca: 4 milhões de computadores infectados, incluindo maquinas de agencias governamentais americanas, universidades e empresas da Fortune 500. A infraestrutura era global, com servidores de DNS maliciosos hospedados nos EUA e na Estonia. O desfecho também foi historico: quando o FBI derrubou a infraestrutura Rove Digital em novembro de 2011, havia tal número de computadores infectados que desligar os servidores de DNS maliciosos teria cortado o acesso a internet de centenas de milhares de pessoas. O FBI teve de manter servidores DNS substitutos operacionais por meses enquanto usuarios eram notificados - um desafio inedito em operações de law enforcement cibernetico. > [!latam] Relevância para o Brasil e América Latina > O DNSChanger teve alcance global, com infeccoes documentadas no Brasil e em outros paises da América Latina. A técnica de manipulação de DNS - sequestro de configuracoes de resolução para redirecionar trafego - e um vetor continuo relevante na regiao: roteadores domesticos com credenciais padrao sao alvos regulares de grupos de cibercrime brasileiros que aplicam técnica identica para redirecionar usuarios para paginas de phishing de bancos. O "GhostDNS" e operações similares documentadas no Brasil sao herdeiros diretos do modelo Rove Digital. ## Como o Esquema Funcionou ```mermaid graph TB A["Distribuição do DNSChanger<br/>Via downloads falsos, codecs<br/>e software pirata 2007-2011"] --> B["Instalacao silenciosa<br/>Malware modifica configuracoes DNS<br/>do sistema ou roteador"] B --> C["DNS modificado<br/>Servidor DNS legitimo substituido<br/>por servidor Rove Digital"] C --> D["Resolução DNS manipulada<br/>Qualquer dominio pode ser<br/>redirecionado pelos atacantes"] D --> E["Redirecionamento de buscas<br/>Google e Bing exibem<br/>anuncios fraudulentos pagos pelo grupo"] E --> F["Substituicao de anuncios<br/>Anuncios legitimos de parceiros<br/>substituidos por anuncios do grupo"] F --> G["Receita publicitaria fraudulenta<br/>14 milhoes USD em 4 anos<br/>Grupo pago como publisher"] G --> H["Novembro 2011 - FBI derruba infra<br/>6 estonios e 1 russo indiciados<br/>Tsastsin extraditado e condenado"] ``` **O modelo de fraude publicitaria:** O Rove Digital operava um esquema duplo de fraude: 1. **Click fraud**: Redirecionar buscas no Google, Bing e Yahoo para versoes modificadas que exibiam anuncios do Rove Digital no lugar dos anuncios originais. O grupo era pago como parceiro publicitario pelos cliques gerados por usuarios que nao tinham ideia de que estavam em uma pagina manipulada. 2. **Ad replacement**: Substituir anuncios legitimos em sites normais por anuncios proprios. Um site que exibia publicidade de um anunciante legitimo passava a exibir publicidade do Rove Digital nos computadores infectados. **Escala da infraestrutura:** - 100+ servidores de DNS maliciosos hospedados nos EUA (Nova York e Chicago) e na Estonia - Capacidade de resolver requisicoes para milhões de computadores infectados simultaneamente - Operação por mais de 4 anos sem interrupcao significativa ## Perfil do DNSChanger O [[dnschanger]] era um malware relativamente simples mas altamente eficaz: | Caracteristica | Detalhe | |---|---| | Vetor de infecção | Downloads falsos, codecs, software pirata, anuncios maliciosos | | Modificacao alvo | Configuracoes de DNS no sistema operacional e/ou no roteador domestico | | Persistência | Substituicao permanente dos servidores DNS configurados | | Propagação na rede | Capacidade de reconfigurar roteadores com credenciais padrao | | Detecção | Baixa - sem comportamento visivelmente malicioso para o usuario | | Impacto por vitima | Redirecionamento silencioso de todo trafego web | **O problema do desligamento:** Quando o FBI derrubou a operação, havia tantos computadores dependendo dos servidores DNS do Rove Digital que o simples desligamento teria interrompido o acesso a internet de centenas de milhares de usuarios. O FBI obteve autorização judicial para manter servidores substitutos operando até julho de 2012, durante o período de remedacao e notificação das vitimas. ## TTPs Mapeadas ```mermaid graph LR IA["Initial Access<br/>T1566 Phishing/Drive-by"] --> EX["Execution<br/>T1204 User Execution"] EX --> PERS["Persistence<br/>T1547 Modify Hosts/DNS"] PERS --> AIM["Adversary-in-Middle<br/>T1557 DNS Manipulation"] AIM --> COL["Collection<br/>T1185 Browser Session"] COL --> MON["Monetization<br/>Ad fraud via DNS"] ``` | Fase | Técnica MITRE | Detalhe | |---|---|---| | Initial Access | T1566 - Phishing / Drive-by | Downloads falsos, codecs maliciosos, anuncios maliciosos | | Execution | T1204 - User Execution | Usuario executa installer do software falso | | Persistence | T1565.001 - Data Manipulation | Modificacao persistente de configuracoes DNS | | Defense Evasion | T1036 - Masquerading | Malware disfarado de software legitimo | | Impact | T1557 - Adversary-in-the-Middle | Intercepcao e modificacao de resolução DNS | | Impact | T1583.001 - Acquire Infrastructure | Servidores DNS maliciosos proprios | | Impact | T1496 - Resource Hijacking | Uso do computador infectado para fraude publicitaria | ## O Caso Juridico e Aftermath A operação do FBI envolveu cooperação com autoridades estonias e suecas: - **Novembro 2011**: Seis cidadaos estonios e um russo indiciados por fraude informatica e fraude em comúnicacoes eletronicas - **Vladimir Tsastsin**: Lider do grupo, extraditado para os EUA e condenado em 2015 a 87 meses de prisao federal - **Servidores substitutos**: FBI manteve servidores DNS substitutos operando de novembro de 2011 a julho de 2012 - **Notificação em massa**: ISPs e organizacoes como Google, Facebook e DNS-Changer Working Group (DCWG) notificaram usuarios afetados - **Remedacao**: Usuarios afetados foram instruidos a reconfigurar DNS ou substituir roteadores comprometidos A operação estabeleceu precedentes importantes para law enforcement cibernetico: a possibilidade de manter infraestrutura criminosa operando temporariamente para proteger vitimas durante a transicao. ## Detecao e Defesa **Verificação de infecção por DNSChanger:** 1. **Checar configuracoes DNS** - Verificar se os servidores DNS configurados correspondem aos do ISP ou a servidores DNS conhecidos (8.8.8.8, 1.1.1.1, etc.) 2. **Verificar configuracoes do roteador** - Roteadores domesticos com credenciais padrao podem ter DNS modificado sem infecção direta do PC 3. **Ferramenta DCWG** - O DNS Changer Working Group disponibilizou ferramenta de verificação durante o período pos-operação **Prevenção contra ataques de DNS semelhantes:** 1. **Trocar credenciais padrao de roteadores** - O DNSChanger explorava roteadores com usuario/senha padrao como `admin/admin` 2. **Monitoramento de DNS** - SOCs devem monitorar mudanças em configuracoes DNS em endpoints gerenciados 3. **DNSSEC** - Validação criptografica de respostas DNS previne redirecionamentos maliciosos 4. **DNS over HTTPS (DoH) ou DNS over TLS (DoT)** - Cifra consultas DNS, dificultando manipulação em transito 5. **EDR com detecção de modificacao DNS** - Alertas para qualquer modificacao de configuracoes de DNS no sistema > [!ioc]- IOCs - Operation Ghost Click / DNSChanger (TLP:CLEAR) > **Servidores DNS maliciosos do Rove Digital (historicos):** > Faixa primaria (EUA): `85.255.112.0/22` (85.255.112.x - 85.255.115.x) > Faixa secundaria (EUA): `67.210.0.0/20` > Faixa Estonia: `93.188.160.0/21` > > **Verificação de infecção (DNS Changer Working Group - DCWG):** > Ferramenta de verificação: `http://www.dns-ok.us/` (historico) > > **Hashes do DNSChanger (historicos):** > Multiplas variantes documentadas - referência completa no IOC DB da Mandiant > > **Fontes:** [FBI Press Release](https://archives.fbi.gov/archives/newyork/press-releases/2011/six-individuals-charged-for-dnschanger-malware) - [DCWG](http://www.dcwg.org) ## Referências - [1](https://archives.fbi.gov/archives/newyork/press-releases/2011/six-individuals-charged-for-dnschanger-malware) FBI New York - Six Individuals Charged for DNSChanger Malware (2011) - [2](https://www.justice.gov/opa/pr/seven-defendants-indicted-connection-international-dnschanger-malware-ring) DOJ - Seven Defendants Indicted in DNSChanger Malware Ring (2011) - [3](https://web.archive.org/web/20120709063153/http://www.dcwg.org/) DNS Changer Working Group (DCWG) - Official Site (2012) - [4](https://www.wired.com/2012/07/operation-ghost-click-dnschanger-shutdown/) Wired - Operation Ghost Click: The Day the Internet (Almost) Died (2012) - [5](https://krebsonsecurity.com/2011/11/fbi-dismantles-dnschanger-botnet/) Krebs on Security - FBI Dismantles DNSChanger Botnet (2011)