Danos colaterais de APTs

Como APTs comprometem a privacidade e a segurança dos cidadãos comuns que não são alvos diretos.

As pessoas geralmente se relacionam com os APTs da mesma maneira que nos relacionamos com a espionagem em geral: certamente é algo grande, mas não vai atingir a nós, meros mortais, certo? A maioria de nós não carrega nenhum segredo industrial ou governamental significativo em nossos telefones e não trabalha com informações classificadas em nossos PCs; então, por que seríamos interessantes para os criminosos?

Bem, o pessoal tem razão. É muito incomum que uma pessoa comum seja alvo de alguém patrocinado por um Estado-nação, mas ainda podemos sofrer danos colaterais. Daniel Creus, da Equipe Global de Pesquisa e Análise da Kaspersky (GReAT), falou sobre esse assunto recentemente em Barcelona. Este post recapitula rapidamente sua apresentação e descreve as três maneiras pelas quais cidadão comuns podem entrar na rota de colisão com um ataque APT.

Cenário de dano colateral #1: site errado na hora errada

Em comparação com agentes menores, os APTs têm dinheiro suficiente para muitos ataques 0-day, incluindo aqueles que tornam possíveis ataques watering hole remotos. Uma pesquisa do Google Project Zero em 2019 revelou que um criminoso usou até 14 vulnerabilidades diferentes em 5 cadeias de exploração diferentes para infectar seus alvos com spyware.

Algumas dessas vulnerabilidades foram usadas para infectar remotamente usuários de iOS que visitaram sites específicos relacionados à política. Eles acabaram com spywares em seus telefones. O fato é que o criminoso não fez distinção entre os visitantes do site, o que significa que todos os usuários do iOS que visitaram o site foram infectados, independentemente de serem alvos ou não.

E esse não foi o único ataque APT que envolveu um “watering hole”. Por exemplo, um dos vetores de ataque do infame NotPetya (também conhecido como ExPetr) começou com a infecção de um site do governo. Quando os usuários visitaram o site, o malware foi baixado e executado em seus computadores. Você deve se lembrar que o NotPetya gerou um tremendo efeito colateral.

Portanto, um dos problemas com os APTs é que os agentes de ameaças podem não ter interesse em segmentá-lo, mas se você visitar o site errado ou baixar o aplicativo errado, será infectado e as informações privadas do seu dispositivo serão expostas – ou danificadas, em casos de ransomware relacionados a APTs, como o NotPetya.

Cenário de dano colateral #2: Brinquedos perigosos nas mãos de cibercriminosos

Entre outras coisas, os APTs geralmente buscam os segredos de outros APTs. Eles tendem a se hackear e às vezes vazam as ferramentas que seus inimigos usam. Outros agentes menores e menos experientes os capturam e os usam para criar malwares, que às vezes saem de controle. Lembre-se de que o famoso WannaCry foi criado usando o EternalBlue, uma das ameaças vazadas pelo ShadowBrokers quando eles decidiram publicar o arsenal ciberarmas do Equation Group.

Mais ameaças, incluindo NotPetya / ExPetr, Bad Rabbit, EternalRocks e outras, também se basearam no EternalBlue. Uma exploração vazada resultou em uma série de várias epidemias enormes e muitos outros eventos menores, que juntos afetaram centenas de milhares de computadores e interromperam o trabalho de várias empresas e agências governamentais em todo o mundo.

Em resumo, o segundo problema que as pessoas comuns enfrentam com os APTs é que os agentes de ameaças criam ferramentas realmente perigosas e às vezes falham em contê-las. Como resultado, essas coisas perigosas podem acabar nas mãos de cibercriminosos – com graus variados de competência – que não hesitam em usá-las, às vezes afetando muitas pessoas inocentes.

Cenário de dano colateral #3: Vazamento de dados coletados

Como mencionamos acima, aqueles que estão por trás dos APTs tendem a se hackear. Às vezes, eles publicam não apenas as ferramentas roubadas, mas também qualquer informação coletada por seus inimigos usando tais ferramentas. Foi assim que, por exemplo, os dados coletados pelo infame mecanismo de ciberespionagem ZooPark ficaram disponíveis ao público.

Nos últimos dois anos, até 13 fornecedores de stalkerwares foram invadidos ou deixaram as informações coletadas expostas online, em um servidor web desprotegido e disponível ao público. Os vazamentos também afetam os atores mais importantes; os criadores do notório FinFisher foram invadidos, assim como os ainda mais famosos Hacking Team, que costumavam desenvolver ferramentas de vigilância.

Portanto, existe o terceiro problema: mesmo que um APT não tenha nada a ver com usuários comuns, mesmo que apenas armazene suas informações sem usá-las, se esse APT vazar dados, peixes menores terão prazer em se alimentar com essas informações para extorquir ou pesquisar dados particulares – desde números de cartão de crédito e digitalizações de documentos até informações de contato e fotos comprometedoras.

Como se manter seguro de APTs

Embora os APTs sejam significativamente mais sofisticados do que os malwares comuns, as mesmas técnicas que usamos contra ameaças comuns ajudam a proteger contra APTs.

  • Desative a instalação de aplicativos de fontes de terceiros em telefones Android. Se você realmente precisar instalar algum aplicativo confiável fora do Google Play, permita-o uma vez, mas não se esqueça de alterar a configuração novamente quando terminar.
  • Verifique regularmente as permissões dos aplicativos que você instalou no seu dispositivo e revogue as permissões que julgar desnecessárias para um determinado app. Também é uma boa ideia verificar a lista de permissões que um aplicativo usa antes de instalá-lo. Você pode encontrar a lista no Google Play.
  • Evite visitar sites obscuros e clicar em links de fontes nas quais você não confia completamente. Pessoas desconhecidas não enviarão links e aplicativos com boas intenções. Alguns APTs são capazes de infectar sites legítimos, mas a maioria depende do bom e antigo phishing.
  • Use uma solução de segurança confiável que escaneia tudo o que está para ser instalado ou baixado no dispositivo e verifica todos os links e pacotes. Considere isso como uma última linha de defesa: mesmo que um ator malicioso o engane ou use uma exploração para encontrar seu caminho no dispositivo, a solução de segurança ainda poderá protegê-lo.
Dicas