2017/05/25

Operation Cobalt Kitty - um mega-ataque de hackers que revela o perigo para as empresas


A ideia de que existem tantos potenciais alvos na internet que ninguém está interessado em "nós" é uma ilusão; e este Cobalt Kitty leva-nos a um caso que fará tremer todas as empresas, quando se tornam vítimas de um grupo de hackers que sabe o que faz.

Desencadeado pelo OceanLotus Group, este ataque a uma grande corporação asiática (que permanece anónima) permitiu que o grupo de hackers mantivesse acesso permanente à sua rede durante pelo menos um ano; sendo que a parte mais interessante começa no momento em que a empresa contratou os serviços de segurança da CyberReason.

Foi descoberto que os atacantes estavam a usar um sistema "file-less" usando a PowerShell para executar conteúdos maliciosos directamente e apenas na memória - o que evita o acesso ao disco e os scans dos anti-virus. O vector de ataque inicial terá sido via spear-phishing, uma técnica mais avançada de phishing que recorre a informação personalizada da vítima para se tornar mais credível (daí que naquela questão dos emails da EDP, a presença do nome ajuda a separar imediatamente o que for phishing, mas por si só não garante que o email seja legítimo).

Quando a empresa fechou a porta ao PowerShell, os atacantes foram rápidos a reagir e a usar método alternativos para continuar a ter acesso e controlo sobre a rede, com DLL-hijacking e DNS tunneling. A primeira técnica consiste em esconder o malware dentro de software legítimo através da utilização de DLLs manipulados; a segunda esconde acessos suspeitos e comunicações para o exterior escondendo-os no protocolo DNS. E quando também estes foram detectados, o grupo continuou a demonstrar a sua capacidade de rapidamente se adaptar e usar técnicas alternativas, recorrendo a uma engenhosa macro instalada no Outlook para permitir a execução remota de comandos enviados pelos atacantes; a a par de dezenas de variantes camufladas de uma ferramenta de captura de passwords, com vista a obter as credenciais dos utilizadores e com elas poderem infectar outras máquinas.

... E quando também isto foi descoberto, os atacantes esperaram uma semana... para depois lançarem nova ofensiva com um vasto conjunto de técnicas e ferramentas, que lhes permitiu reactivar o acesso à PowerShell, superando as protecções que tinham sido implementadas... Também isto acabou por ser detectado e impedido... mas só de pensar em tudo o que se passou, não se pode evitar pensar em quantas outras empresas (ou utilizadores individuais) poderão estar neste momento a ser alvo deste tipo de ataques sem terem capacidade para os detectar ou impedir?

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]