Como cibercriminosos utilizam serviços de terceiros para coordenar campanhas para distribuição de malware? Esse foi o foco do estudo realizado pela F-Secure Labs, que também examinou como a criptografia usada por redes sociais como o Twitter permite a invasores como o grupo The Dukes disseminar malware e roubar dados.
“Se eu tivesse de resumir, diria que atacantes estão usando certos serviços para ajudá-los a voar abaixo do alcance do radar da segurança corporativa”, afirmou Artturi Lehtiö, pesquisador da F-Secure e autor do relatório. “Muitos serviços on-line usam criptografia para impedir a interceptação e o roubo de dados em trânsito. A desvantagem disso é que medidas de segurança como firewalls não são capazes de identificar o tráfego malicioso. Esse é um desafio real para as empresas, e minha pesquisa demonstrou como invasores como o grupo The Dukes se aproveitam dessa vantagem em seus ataques.”
O The Dukes é um grupo de hackers patrocinado por alguns governos, cujos alvos têm sido outros governos e organizações correlatas durante, pelo menos, os últimos sete anos. O novo relatório de Lehtiö fornece detalhes de como o grupo executa ataques usando serviços de terceiros como infraestrutura de comando e controle.
O relatório destaca especificamente como o The Dukes conseguiu usar o Twitter para se comunicar com máquinas infectadas e instruí-las a efetuar o download do malware. Os atacantes conseguiram, também, usar o Microsoft OneDrive como uma ferramenta de exfiltração de dados, permitindo recuperar dados roubados sem chamar atenção.
“O uso desses serviços como infraestrutura de comando e controle permite aos invasores usar o acesso à rede concedido a plataformas on-line confiáveis”, comenta Lehtiö. Ainda de acordo com o especialista, o intuito é comunicar-se com dispositivos anteriormente infectados e, por esse motivo, eles não estão sendo usados para ter como alvo direto os provedores de serviço ou usuários aleatórios.
“Ambientes como mídias sociais simplesmente proporcionam aos atacantes uma ferramenta amigável e de bom custo-benefício para coordenarem suas campanhas, garantindo que eles atinjam os seus objetivos”, observa.
Campanhas de malware utilizando serviços de terceiros são difíceis de serem detectados, porque os dados maliciosos trocados entre invasores e seus alvos são criptografados e misturados com o tráfego legítimo.
Pesquisas sugerem que muitas empresas não estão descriptografando ativamente o tráfego da web para diferenciar um do outro. Um estudo descobriu que menos de 50% das empresas com gateways web seguros descriptografam o tráfego que sai, e que menos de 20% das empresas que têm firewalls, sistemas de prevenção de intrusão ou dispositivos para gerenciamento unificado de ameaças descriptografam tráfego SSL que entra ou que sai.
Segundo Jarno Niemelä, pesquisador sênior da F-Secure, confiar em soluções de segurança que descriptografam o tráfego da Internet pode ser arriscado e as empresas precisam estar cientes das potenciais dificuldades contidas nessa abordagem.
“Descriptografar o tráfego de rede usando técnicas man-in-the-middle pode ser custoso e muito complicado de efetuar adequadamente. Houve casos em que os invasores tiraram vantagem dessa abordagem para acessar o tráfego de Internet criptografado de suas vítimas, expondo informações confidenciais em vez de protegê-las. As empresas que adotam essa abordagem devem garantir um certificado dado apenas à sua organização, uma vez que o uso de certificados compartilhados aumenta significativamente o risco de um ataque man-in-the-middle.”
Niemelä acrescenta que uma proteção para endpoint confiável pode interromper esses ataques no ponto da infecção inicial, por não depender da capacidade de quebrar ou contornar a criptografia, fazendo dela uma maneira segura e eficiente para as empresas se protegerem.
