Software Comercial Fabricado nos EUA Usado por Entidades Estatais para Hackear Alvos Militares na Europa e Israel

Table Of Contents

• Campanha de Hacking Estatal Suspeita Contra a Europa e Israel Usou Software Comercial Fabricado nos EUA
• Abordagem Diferente
• Rocket Kitten
• Irã como um dos principais suspeitos

Campanha de Hacking Estatal Suspeita Contra a Europa e Israel Usou Software Comercial Fabricado nos EUA

Uma campanha de hacking contra alvos militares dentro de Israel e Europa veio à tona recentemente e os pesquisadores por trás da descoberta acreditam que o ataque fez uso de software comercial disponível. Os pesquisadores da CrowdStrike e da startup Cymmetria apresentarão suas descobertas incomuns na conferência de segurança anual Chaos Communication Congress em Hamburgo no sábado.

Abordagem Diferente

Atacantes criminosos têm utilizado ferramentas comercialmente disponíveis – como o Metasploit – há bastante tempo. No entanto, atores estatais geralmente evitam usar qualquer software comercial, por temores de que isso possa ser rastreado de volta ao seu cliente, levando a um clamor público. Os países tendem a usar software especificamente escrito para a maioria dos propósitos, para aumentar a segurança e a independência. No entanto, este ataque em questão adotou uma nova abordagem ao abusar de uma ferramenta de teste de segurança, desenvolvida pela Core Security, com sede em Boston. A Core Security vende seus produtos para clientes que desejam testar seus próprios mecanismos de segurança.

Grandes hacks patrocinados pelo governo têm ferramentas especialmente escritas, complementadas por programas gratuitos e amplamente disponíveis. Isso se deve em parte ao fato de que programas comerciais poderiam ser rastreados de volta a clientes específicos. Embora a dependência de certas ferramentas feitas sob medida tenha permitido que os pesquisadores restringissem um ataque a entidades particulares. No entanto, o uso do programa da Core Security adiciona uma nova reviravolta à história.

Usar o programa da Core Security, que normalmente custa $10.000 ou $20.000, poderia ajudar a confundir as águas, e o analista da CrowdStrike, Tillmann Werner, disse que isso poderia também ajudar uma ciberpotência de segundo nível a pular parte do trabalho frequentemente realizado pela China, Rússia e Estados Unidos. “A resposta mais provável é que eles não tinham a capacidade de fazer isso por conta própria,” disse Werner sobre os hackers, acrescentando que “não há risco de deixar marcas de ferramentas.”

Rocket Kitten

Werner e o CEO da Cymmetria, Gadi Evron, que também preside o CERT israelense, disseram que não sabiam quem estava por trás da campanha. Mas, a julgar pelas evidências das vítimas, os pesquisadores acreditam que o ataque pode ter sido patrocinado pelo Irã. Evron afirmou que eles detectaram ataques que datam de abril. Esses ataques incluem aqueles a uma empresa israelense “adjacente à indústria de defesa e aeroespacial,” uma instituição acadêmica israelense, uma agência de defesa de língua alemã e um ministério da defesa da Europa Oriental. A única outra informação que temos até este momento é que os ataques a alvos baseados em Israel foram malsucedidos.

A CrowdStrike chamou essa campanha de hacking de ‘Rocket Kitten’ seguindo sua convenção de nomear todos os grupos suspeitos de ataques cibernéticos iranianos como Kittens. O ataque se baseou em planilhas do Excel infectadas que foram enviadas por e-mail a executivos dos alvos. O e-mail solicitou permissão para executar um programa de macro dentro da planilha do Excel. Macros são pequenos pedaços automatizados de um programa que são programados para realizar uma tarefa específica.

No entanto, neste caso, a macro carregava um payload de malware transportador. Uma vez que o executivo da empresa alvo executasse a macro, o malware transportador baixaria outros componentes da ferramenta Core Impact da Core e os instalaria nos servidores dessas máquinas. Uma das características da ferramenta Core Impact da Core é sua capacidade de furtividade para se esconder da detecção.

Os termos de licenciamento da Core proíbem o uso de seu programa contra terceiros desavisados, e o vice-presidente de engenharia da Core, Flavio de Cristofaro, disse que a empresa não tinha ouvido falar de tal uso indevido em pelo menos cinco anos. De Cristofaro disse que a empresa ajudaria o CERT se solicitado e, em qualquer caso, tentaria rastrear como o software foi retirado das marcas d’água e outras restrições técnicas projetadas para limitar sua disseminação.

“Nós vamos seguir isso,” disse De Cristofaro.

Irã como um dos principais suspeitos

Desde a alegada participação dos EUA e de Israel no ataque ao programa nuclear do Irã através do vírus Stuxnet, diz-se que o Irã está fortalecendo suas capacidades de guerra cibernética. O vírus Stuxnet tem sido particularmente desestabilizador para o programa nuclear indígena do Irã e é uma das razões pelas quais se diz que o Irã chegou às mesas de negociação com as potências ocidentais sobre questões de não proliferação. Anteriormente, hackers baseados no Irã haviam realizado com sucesso uma operação de hacking contra a Las Vegas Sands Corp., que praticamente desligou as redes do operador de cassino baseado nos EUA. Este ataque foi realizado porque o proprietário da Sands Corp. havia solicitado ao exército dos EUA que bombardeasse o Irã para impedi-lo de proliferar materiais de fissão. Os investigadores desse ataque de hacking não encontraram nenhuma ligação com o estado do Irã, mas esse fato não nega que o Irã é um país muito engenhoso nas artes da guerra cibernética.

Resource : Chicago Tribune.