SAS-2019: notícias de cibersegurança diretamente do lado sombrio

Olá, pessoal.

Hoje, trouxe para vocês uma nova atualização de notícias de cibersegurança do lado sombrio, desta vez, dedicada às apresentações do nosso anual Security Analyst Summit que ocorreu mês passado em Cingapura.

Uma das principais características de toda a  SAS são as apresentações dos especialistas. Ao contrário de outras conferências geopoliticamente corretas, os analistas compartilham suas descobertas sobre quaisquer ameaças cibernéticas, não importando de onde elas vêm, assim, ano após ano, seguem esse princípio. Afinal, os malwares continuam sendo malwares e os usuários precisam ser protegidos contra ameaças, independentemente das intenções de seus criadores. Você se lembra do efeito bumerangue?

E se qualquer meio de comunicação mente abertamente sobre nossos princípios e motivações, assim seja. Mas melhor que deixá-los saber que ao agir desse modo, eles não só vão contra aos nossos princípios, nós gostamos de dar o exemplo e isso demonstra a nossa liderança na resolução de operações de ciberespionagem. Além disso, eles devem saber que não planejamos mudar nossa posição em detrimento dos usuários.

Com isso em mente, deixo aqui as conversas mais interessantes, incríveis e aterrorizantes que ocorreram na SAS.

1. TajMahal

No ano passado, descobrimos um ataque a uma organização diplomática na Ásia Central. Obviamente, cibercriminosos com um alvo desse porte,  não deve surpreender ninguém. Os sistemas de informação de embaixadas, consulados e missões diplomáticas sempre atraíram o interesse de outros estados e de suas agências de espionagem ou, de qualquer pessoa com os conhecimentos e recursos financeiros necessários. Sim, todos nós lemos romances de espionagem, mas com certeza você não leu isso em nenhum livro. Os golpitas construíram um autêntico “TajMahal”, uma plataforma APT com um grande número de plugins usados (nunca vimos o uso de tantos  em uma única plataforma APT até hoje) para todos os cenários de ataque usando várias ferramentas.

O mecanismo consiste em duas partes: Tóquio, a principal backdoor, que também é necessária para completar a função de envio do último programa malicioso, e Yokohama, que possui funcionalidades diferentes, como roubar cookies, interceptar documentos da fila de impressão, registrar chamadas VoIP ( incluindo WhatsApp e FaceTime), tire screenshots e muito mais. A operação TajMahal está ativa há pelo menos 5 anos e sua complexidade pode sugerir que ela foi desenvolvida com mais de um objetivo em mente; para descobrir toda essa estratégia, tivemos que cavar um pouco mais.

Você pode encontrar todas as informações sobre esta APT aqui.

2. Grupo de ciberespionagem Gaza

A primeira vez que escrevemos sobre a Gaza Cybergang foi em 2015, embora esse grupo árabe com motivações políticas esteja ativo desde 2012. Ele opera principalmente no Oriente Médio e na Ásia Central e a maioria dos ataques ocorreu na Palestina. Embora muitas tentativas de infecção na Jordânia, Israel e no Líbano tenham sido detectas. O interesse do grupo está bem claro: bisbilhotar políticos, diplomatas, jornalistas e ativistas políticos.

Este grupo pode ser descrito como um “composto”, uma vez que pelo menos três subgrupos o constitui. Cada um desses deles tem diferentes técnicas de espionagem, por isso foi difícil detectar primeiro que se tratava de um trabalho conjunto. Já falamos sobre os dois grupos com as melhores habilidades técnicas em nosso blog. O terceiro subgrupo, MoleRATs, foi anunciado pela primeira vez na SAS-2019 e teve sua participação detectada na operação SneakyPastes (ganhou esse nome pelo uso ativo de pastebin.com).

Seus ataques multicelulares começam com um e-mail de phishing super perigoso e destrutivo: abordam algum problema político atual que parece conter algum tipo de protocolo de negociação ou uma mensagem de uma organização respeitável. Um funcionário com treinamento inadequado pode cair perfeitamente e abrir o arquivo anexado que, apesar da aparência inofensiva, pode conter malware e desencadear uma série de infecções. Uma vez dentro do sistema, os cibercriminosos escondem a presença do malware dos programas antivírus e continuam com as próximas etapas do ataque.

Por fim, um RAT é instalado no dispositivo da vítima, que consegue baixar e carregar arquivos, iniciar aplicativos, pesquisar documentos e criptografar dados. Além de encontrar todos os .pdf, .doc, .docx, .xlsx no sistema, pastas armazenadas em arquivos temporários, os classifica, os armazena, os criptografa e até os envia a uma série de domínios de servidor de comando e controle. E é assim que funciona a espionagem em 2019!

Quer mais informação? Dê uma olhada aqui.

3. A fraude financeira e os clones digitais 

Se você acha que todas as nossas investigações se concentram apenas em ataques que parecem ter saído de um romance de ficção científica, espião ou detetive, você está errado. O terceiro caso sobre o qual eu gostaria de falar é um cibercrime muito simples que afeta muitos usuários e que se tornou tão comum que a mídia nem fala mais sobre isso, embora devesse! Sim, estou falando de fraude financeira. Segundo uma fonte confiável, em 2018, 24 bilhões de dólares foram perdidos devido a golpes a cartões de crédito. Para fazer uma analogia com esse montante, o orçamento anual da NASA é de 21,5 bilhões de dólares e as Olimpíadas de Tóquio vão custar 25 bilhões.

Um novo termo surgiu para se referir a fraude de cartão de crédito: carding. Este crime continua a crescer ano após ano e, embora os bancos e sistemas de pagamento prestem especial atenção à segurança, os golpistas não param de desenvolver novas ferramentas para roubar o dinheiro neste tipo de ataque.

Sergey Lozhkin apresentou na SAS-2019 outro tipo de crime financeiro. Ele descobriu um mercado “paralelo” chamado Gênesis na darknet em que as impressões digitais roubadas são compradas e vendidas. Este produto vendido se trata basicamente de pacotes de dados sobre o comportamento de um usuário na rede e sua impressão digital: histórico de sites visitados, informações sobre o sistema operacional, navegador e assim por diante. E que uso toda essa informação pode ter? Esses são os dados usados ​​por muitos sistemas online de proteção contra fraudes para identificar usuários. Portanto, se uma impressão digital corresponder à usada anteriormente, a solução de segurança “reconhecerá” o usuário e aprovará a transação. Por exemplo, uma compra realizada em uma loja na Internet ou uma transferência por meio do banco online. O preço dessas impressões digitais varia de US $ 5 a US $ 200, dependendo do volume de dados.

Como essas impressões digitais são coletadas? Usando várias estratégias maliciosas, malwares podem permanecer em seu computador e coletar gradualmente e armazenas todos os seus segredos.

Os cibercriminosos criaram outro método para contornar sistemas de proteção completos: aparecer como um novo usuário no sistema. Para isso, eles precisam da ajuda de um serviço especial chamado Sphere, que restaura a identidade digital e todos os seus parâmetros, desta forma, o golpistas parece estar “limpo”.

O que podemos fazer sobre isso? Os bancos precisam estar cientes das mais recentes estratégias de fraude e usar a autenticação de dois fatores. Eu acho que eles terão em breve adicionar dados biométricos, impressões digitais, reconhecimento de íris, etc. Por enquanto, cuidem de seus dados, senhas e número do cartão e mantenham-se vigilantes com computadores em locais públicos e conexões de rede abertas. E, claro, use uma boa solução de segurança que reconheça qualquer atividade maliciosa contra sua identidade digital.

4. O poder secreto do YARA

No final da SAS deste ano, Vitaly Kamluk nos deliciou com uma apresentação no estilo PechaKucha (20 slides mostrados por apenas 20 segundos cada) sobre as funcionalidades do YARA, um tipo de mecanismo de busca para identificar as características dos arquivos executáveis , uma ajuda valiosa para a análise de malware.

Em sua apresentação, intitulada “O segredo do poder do YARA”, ele aplicou seus poderes especiais de Jedi à sua ferramenta e reproduziu um vídeo em tempo real em arte ASCII. O público ficou chocado, mas ainda havia mais, pois adicionou um pouco mais de magia e começou a jogar DOOM com o mesmo ASCII! Os espectadores não podiam acreditar.

5. E se…

Na última apresentação, o diretor do nosso GReAT, Costin Raiu, deixou muitas reflexões para o público sobre como o malware pode penetrar em um sistema no nível do hardware e também os possíveis métodos de ocultação nas profundezas disto. O que podemos fazer se essas hipóteses forem cumpridas? Como a indústria de cibersegurança pode responder? A apresentação de Costin foi basicamente como um guia de iniciação em seu campo.

Bem, este foi um resumo dos destaques da SAS-2019, esperamos que a SAS-2020 seja ainda melhor

P.S.: Na SAS-2019 houve um total de 70 apresentações e estas representam apenas os finalistas que conseguiram passar todos os processos de seleção. Não posso falar sobre todas elas, mas em breve o vídeo com a conferência completa estará disponível no nosso canal do YouTube.

LEIA COMENTÁRIOS 0
Deixe um comentário.