“Novas ameaças demandam novas estratégias”

A empresa de segurança RSA teve sua rede interna atacada em março deste ano, mas até hoje há reverberações do evento, que comprometeu a segurança dos geradores de senha SecurID. De lá para cá, houve apenas uma notificação de um cliente vítima da brecha da RSA: a Lockheed Martin, a maior fornecedora de serviços de TI e tecnologia bélica e de inteligência para o governo dos EUA. Mas, a RSA não descarta futuros ataques, daí o motivo do burburinho.

"Levando-se em conta que não existe uma coisa chamada segurança perfeita, é impossível prever o que pode acontecer. No entanto, trabalhamos proativamente com os clientes logo após o ataque, em Março, e continuamos desde então", disse Eddie Schwartz, CSO (chief security officer) da RSA, em entrevista ao site Security Dark Reading.

Essa posição de transparência da empresa, que se tornou parceira da TechBiz Forense Digital ao adquirir a NetWitness, também está presente no artigo de Uri Rivner, publicado na última edição da revista SecureView sob o título “Anatomia do Ataque Zero-Day à RSA”. Uri é o diretor de novas tecnologias, proteção de identidades e verificações da RSA. Ele está envolvido em pesquisas sobre fraudes on-line e desenvolvimento de estratégias para mitigar e prevenir ameaças. E diz:

"Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”. 

“Talvez esse incidente possa ser usado como um exercício para as empresas olharem para a própria infraestrutura e analisar quais as opções possuem para mitigar ataques similares. As ameaças avançadas persistentes são perigosas e precisamos aprender algo com o ocorrido. Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”.

Concordamos com o apelo de Uri e por isso traduzimos livremente trechos de seu artigo que pode ser originalmente lido na versão em PDF da revista.

Trechos do artigo “Anatomia do Ataque Zero-Day à RSA”, de Uri Rivner 

Sobre as Ameaças Persistentes (APT) 

As ameaças avançadas persistentes, cuja sigla em inglês é APT (Advanced Persistent Threat), possuem basicamente três fases principais. A primeira é o ataque de engenharia social; esse é um elemento chave que diferencia um APT de um ataque convencional de hacker. A APT combina engenharia social com vulnerabilidades no end-point para acessar o PC do usuário. Uma vez lá dentro, o atacante já está na rede; só é preciso achar uma maneira de acessar os usuários e sistemas certos, e prosseguir com as atividades hacking regulares.

(...)

A parte da engenharia social é igualmente simples. No começo dos anos 80, você tinha caras como Matthew Broderick no filme “Jogos de Guerra” procurando por modems conectados a redes suscetíveis. Broderick mapeava as redes e encontrava pontos fracos. Seus ataques nada tinham a ver com os usuários; ele se baseava nas fraquezas da infraestrutura. Mas, se Matthew estivesse interpretando um hacker APT dos dias atuais a primeira coisa que ele faria seria visitar um site de mídia social. Ele coletaria inteligência de pessoas da organização, não da infraestrutura. Depois ele enviaria um email de spear-phishing para os funcionários de interesse.

Sobre os ataques à RSA 

No nosso caso, os atacantes enviaram dois diferentes email com phishing ao longo de dois períodos do dia. Esses e-mails foram enviados para dois pequenos grupos de colaboradores. Quando se olha a lista dos alvos, não há nenhum insight flagrante; nada que indique um alto nível dos alvos. O título do email era “Plano de Recrutamento 2011”. Isso já era suficientemente intrigante para que um dos funcionários retirasse o email da caixa de lixo e clicasse no anexo, que era uma planilha do Excel intitulada “2011 Recruitment plan.xls”.

A planilha continha um exploit zero- day que instalava uma backdoor através de uma vulnerabilidade do Adobe Flash (CVE- 2011-0609). A Adobe acabou de lançar um patch de emergência zero-day. O exploit injetou códigos maliciosos no PC do funcionário, permitindo acesso total à máquina. O atacante nesse caso instalou uma ferramenta de administração remota conhecida como Poison Ivy RAT variant. Se você está familiarizado com APTs, reconhecerá a Poison Ivy, que já foi muito utilizada em outros ataques, incluindo o GhostNet.

A importância da rápida detecção 

A próxima fase da APT é se mover lateralmente dentro da rede. Isso porque os pontos iniciais de entrada nem sempre são suficientemente estratégicos para o atacante. Eles precisam de usuários com mais acessos, mais direitos sobre a administração de serviços e servidores relevantes. É por isso que, ao falhar na prevenção da fase de engenharia social, é tão importante detectar a invasão rapidamente.

Em muitas das APTs divulgadas nos últimos 18 meses os atacantes tiveram meses para navegar pela rede através do usuário atacado, mapeando a rede e os recursos disponíveis, e procurar um caminho para atingir os ativos desejados. Depois eles utilizam as contas afetadas, juntamente com várias outras táticas, para ganhar acesso aos usuários mais estratégicos.

No caso dos ataques a RSA, a linha do tempo era mais curta, mas assim mesmo houve tempo para que os atacantes identificassem e ganhassem acesso aos usuários mais estratégicos. Primeiro os atacantes coletaram credenciais dos usuários comprometidos (usuário, domain admin, e service accounts). Eles realizaram uma escalação privilegiada de usuários não administrativos nos sistemas-alvo, e depois moveram-se para ganhar acesso aos alvos-chaves, o que incluem experts em processos e administradores de servidores de TI e não TI.

A terceira fase 

Se o atacante achar que pode existir no ambiente sem ser detectado, ele pode continuar no modo discreto por um bom período. Se ele achar que está correndo risco de ser descoberto, ele se move mais rapidamente e completa a terceira e mais barulhenta fase do ataque. (...)

Na terceira fase do APT, o alvo é extrair o que puder. O atacante da RSA estabeleceu acesso aos servidores de teste e pontos chaves de agregação; isso foi feito para se preparar para a extração. Depois ele foi ao servidor de interesse, removeu dados e os moveu para os servidores internos de teste, onde os dados foram agregados, comprimidos e encriptados para a extração. Em seguida, o atacante utilizou o FTP para transferir arquivos RAR de senha protegidas do servidor de arquivos da RSA para um servidor de testes externo, comprometendo máquinas do provedor hosting. Esses arquivos foram subsequentemente puxados pelo atacante e removidos do servidor externo comprometido para eliminar qualquer rastro do ataque.

Eu espero que essa descrição ofereça informações que possam ser usadas para entender o que está acontecendo e as correlacionar com outras APTS. Na RSA, já estamos aprendendo rapidamente, promovendo tanto mudanças de curto prazo até passos largos para estabelecer uma completa doutrina de defesa.

Seguem 3 URL associadas ao atacante em questão:
  • Good[DOT ]mincesur[DOT ]com 
  • up82673[DOT]hopto[DOT]org 
  • www[DOT ]cz88[DOT ]net

Comentários