Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
O ataque ao SolarWinds finalmente revela dois pesadelos: o que foi feito certo e o que foi erradoSergio de los Santos 15 enero, 2021 Até agora, todos os profissionais de segurança cibernética sabem pelo menos parte do que inicialmente se acreditava ser “apenas” um ataque à SolarWinds, mas que resultou em uma das operações mais interessantes dos últimos anos. Detenhamo-nos nos detalhes mais curiosos do incidente, mas também nos concentraremos na gestão desta crise. O que foi bem feito e o que foi errado para medir a maturidade de um setor que sofrerá mais e piores golpes no futuro. O FireEye dispara o alarme na terça-feira, 8 de dezembro. Eles foram atacados. Mas a indústria não culpa a FireEye por isso, eles os endossam e apoiam em geral, sua resposta é exemplar. Já aconteceu com muitos e pode acontecer com todos nós, então o importante é como você responde e é resiliente. Como os invasores têm acesso a ferramentas confidenciais dentro de sua empresa, a FireEye faz algo que é honrado pela indústria: eles publicam as regras da Yara necessárias para detectar se alguém está usando essas ferramentas roubadas da equipe ofensiva da FireEye contra uma empresa. Um bom gesto que mais uma vez é publicamente reconhecido. Não se sabe muito mais sobre o incidente e a investigação continua. Mas então tudo se complica e de que maneira. A notícia começa: o Departamento do Tesouro dos EUA e muitos outros departamentos do governo também reconhecem um ataque. No mesmo dia 13, a FireEye oferece um detalhe muito importante: o problema está na Trojanização do software Orion da SolarWinds. Um pacote de atualização, assinado pela própria SolarWinds, continha uma porta dos fundos. Estima-se que 18.000 empresas usam este sistema. A caixa de Pandora é descoberta devido às características do ataque e por ser um software usado em muitas grandes empresas e governos.E como os problemas globais exigem reações globais e coordenadas, é aqui que algo parece ter dado errado. A coordenação falhou? No dia seguinte, 14 de dezembro, com as informações necessárias para atingir o «marco zero» do ataque, os métodos reativos ainda não funcionaram. Em concreto: O pacote trojanizado ainda estava disponível no repositório SolarWinds, embora no dia 14 já se soubesse por pelo menos uma semana (embora provavelmente mais) que o pacote estava trojanizado e precisava ser removido. Os mecanismos antivírus ainda não detectavam o malware (que passou a ser conhecido como SUNBURST). Na mesma segunda-feira, ele não estava nas assinaturas estáticas dos motores populares.O certificado com o qual os invasores assinaram o software ainda não foi revogado. Independentemente de eles terem acesso à chave privada ou não (desconhecido), esse certificado teve que ser revogado caso o invasor pudesse assinar outro software em nome da SolarWinds. Aqui, podemos apenas elucidar por que esse elemento «reativo» da cadeia falhou. SolarWinds estava atrasado para o ataque? A FireEye publicou os detalhes para pressionar SolarWindws quando estava começando a ser visto que o ataque ocultava uma ofensa muito mais complexa? É claro que o mercado de ações “puniu” as duas empresas de maneira diferente, se isso puder ser usado como um método rápido de avaliar a reação do mercado a compromissos sérios. FireEye acabou por ser o herói. SolarWinds, o vilão. No entanto, houve reações que funcionaram, como o sequestro do domínio sob o qual todo o ataque se baseia (avsavmcloud.com). Que, a propósito, foi enviado da Espanha para o urlscan.io manualmente em 8 de julho. Alguém pode ter notado algo estranho. A campanha estava ativa desde março. Fonte: https://twitter.com/sshell_/status/1339745377759576065 O próprio malware e a comunidade O “bom” do SUNBURST é que ele foi criado na linguagem .NET, o que o torna relativamente fácil de descompilar e saber o que o invasor programou. E assim a comunidade começou a analisar o software de cima a baixo e as ferramentas do programa para melhor entendê-lo. O malware é extremamente discreto. Não fez efeito até cerca de duas semanas depois de se encontrar na vítima. Ele modificou as tarefas agendadas do sistema para serem iniciadas e, em seguida, as retornou ao estado original. Mas uma das características mais interessantes do malware é a capacidade de ocultar os domínios que usa e que exigia força bruta para revelá-los (eram hashes). Além disso, ele continha o hash de outros domínios que não queria infectar. Qual? Costin Riau de Kasperksy os expõe: Todos, provavelmente, internos à rede SolarWinds, para passar despercebidos em sua rede interna. Uma indicação de que a vítima inicial era o SolarWinds e que, para isso, os invasores deveriam conhecer bem a vítima. Um código foi publicado para obter toda a lista de ferramentas (cujos nomes também foram hash) para descobrir o que o Trojan não queria ver na máquina. Muitas das ferramentas e domínios com hash foram revelados em tempo recorde e reconheceram o que esses invasores tinham em mente. Outra ferramenta foi publicada para descriptografar o DGA (Domain Generator Algorithm) onde tentou entrar em contato com o malware. Um dos pontos fortes do algoritmo era justamente o DGA, mas também seu ponto fraco (o domínio de primeiro nível era sempre o mesmo). Fonte: https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-soph Sofistic-cyberattack-and-how-microsoft- defender-ajuda-proteger / No final, o malware acabou compondo URLs como este: hxxps: // 3mu76044hgf7shjf [.] appsync-api [.] eu-west-1 [.] avsvmcloud [.] com /swip/upd/Orion[.obiliarioWireless[.obiliarioxml Onde ele «exfiltrou» as informações e se comunicou com o Comando e Controle. Bem pensado do ponto de vista do atacante porque passa despercebido pela sua «normalidade», mas mal pensado do ponto de vista da persistência. Outro ponto muito interessante que parece ter passado despercebido é que os invasores pareciam «inflar» o módulo trojanizado de 500 para 900k durante 2019 , sem injetar código relevante, mas aumentando o tamanho da DLL. Em fevereiro de 2020, a carga de espionagem foi introduzida naquele mesmo DLL, obtendo assim uma invisibilidade extra sem levantar suspeitas devido ao aumento de tamanho. Não vá ainda, tem mais Mais recentemente, parece que o Orion da SolarWinds não foi apenas trojanizado com o SUNBURST, mas também com o que veio a ser chamado de SUPERNOVA. Talvez outro ator também tenha a capacidade de entrar na rede e implantar um Trojan diferente na ferramenta. Embora muitos detalhes de seu funcionamento ainda não estejam disponíveis, este é o segundo pesadelo de que ainda se pode falar. Conclusões Estamos perante um dos ataques mais sofisticados dos últimos tempos que não só colocou em xeque uma empresa que se dedica a defender outras empresas, mas também governos, grandes como a Microsoft e outros que nem sequer podemos imaginar. Eles deram um passo adiante com uma campanha quase perfeita para seu impacto e execução. Em outras ocasiões (RSA, Bit9, Operação Aurora…), grandes empresas foram atacadas e também às vezes apenas como um efeito colateral para atingir terceiros, mas desta vez um passo adiante foi dado no discrição, precisão e “bom trabalho” dos atacantes. E tudo graças a uma única falha, é claro: o ponto mais fraco que eles conseguiram detectar na cadeia de suprimentos da qual dependem grandes players. E sim, SolarWinds parecia um elo muito fraco. Em seu site recomendaram a desativação do antivírus (embora isso infelizmente seja comum para certos tipos de ferramentas) e mostraram que usam senhas fracas em suas operações, além do fato de haver indícios de que foram comprometidos por mais de um ano… duas vezes. Devemos nos surpreender com esses elos fracos na cadeia de segurança cibernética, da qual tanto depende? Dependemos de um cenário certamente desigual para as habilidades de segurança cibernética. Capacidade de resposta, defesa e prevenção assimétrica, tanto para vítimas quanto para atacantes… mas muito democrática na importância de cada peça na indústria. Não há escolha a não ser responder de maneira coordenada e conjunta para mitigar o risco. Não é difícil encontrar semelhanças fora do domínio da segurança cibernética. De qualquer forma, e felizmente, mais uma vez, o setor se mostrou maduro e capaz de uma resposta conjunta, não só da comunidade, mas dos principais players. Talvez seja a mensagem positiva que podemos tirar de uma história que ainda parece não ter acabado completamente. Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (I)Atualização dos termos e condições do WhatsApp: uma jogada ousada?
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...