DarkVishnya: a espionagem que vem de dentro

20 dez 2018

Normalmente, nossas investigações sobre incidentes cibernéticos começam pela busca de uma fonte de infecção. Essa fonte não é difícil de encontrar – procuramos por um e-mail com um malware anexado ou um link malicioso, ou ainda um servidor hackeado. Como regra, especialistas de segurança possuem uma lista dos equipamentos, então tudo o que precisa ser feito é descobrir qual máquina deu início ao problema. Mas e se todos os seus computadores estiverem limpos – e atividades maliciosas ainda acontecerem?
Recentemente, nossos peritos investigaram uma situação exatamente assim. O que encontraram: os criminosos conectaram fisicamente seu próprio equipamento à rede corporativa.

Esse tipo de ataque, chamado DarkVishnya, começa com um criminoso que traz um dispositivo para o escritório de uma vítima para conectá-lo à rede corporativa. Com o aparelho, consegue explorar remotamente a infraestrutura de TI da empresa, interceptar senhas, ler informações de pastas públicas, e muito mais.

Detalhes técnicos do ataque podem ser encontrados neste post do Securelist. Neste caso específico, os malfeitores focaram em diversos bancos da Europa Oriental. No entanto, o método pode ser utilizado contra qualquer corporação. Quanto maior, melhor; é muito mais simples esconder um dispositivo malicioso em um escritório grande – e especialmente eficiente se uma empresa tiver vários escritórios espalhados pelo mundo conectados à uma única rede.

Dispositivos

Ao investigar o caso, nossos especialistas encontraram três tipos de dispositivos. Não sabemos ainda se todos foram implantados por um grupo, ou se eram de múltiplos atores, mas todos os ataques usaram o mesmo princípio. Os dispositivos envolvidos eram:

  • Um laptop ou netbook barato. Criminosos não precisam de um modelo de qualidade; podem comprar um usado, conectar um modem 3G e instalar um programa de controle remoto. Então podem simplesmente esconder o dispositivo para que ninguém o veja e utilizar dois cabos – um conectado à rede e outro à uma fonte de energia.
  • Um Raspberry Pi. Um computador miniatura alimentado por uma conexão USB, o Raspberry Pi é barato e discreto – mais fácil de comprar e de esconder em um escritório do que um laptop. Pode ser ligado em um computador, onde estará camuflado entre os fios ou, por exemplo, em uma porta USB de uma TV na recepção ou sala de espera.
  • Um Bash Bunny. Feito para ser utilizado como uma ferramenta de testes de penetração, o Bash Bunny é vendido livremente em fóruns de hackers. Não precisa de uma conexão de rede dedicada; funciona por qualquer porta USB de um computador. Por um lado, isso faz com que seja fácil de esconder – parece um pendrive. Por outro, tecnologias de controle de dispositivos podem reagir a ele imediatamente, o que diminui as chances de sucesso.

Como são conectados?

Até mesmo em empresas nas quais  as questões de segurança são levadas a sério, implantar esses dispositivos não é impossível. O acesso de entregadores, candidatos de emprego e representantes de clientes e parceiros é geralmente permitido nos escritórios, de forma que os malfeitores podem tentar se passar por qualquer um deles.

Outro risco: tomadas Ethernet são instaladas por toda a parte nas empresas – em corredores, salas de reunião, átrios e assim por diante. Olhe à sua volta em qualquer centro de negócios comum e provavelmente vai encontrar um lugar para esconder um pequeno dispositivo conectado à rede e à uma fonte de energia.

O que você pode fazer?

Esse ataque tem pelo menos um ponto fraco – um criminoso precisa ir ao escritório e anexar fisicamente o dispositivo. Por isso, comece a restringir o acesso à rede em lugares acessíveis aos visitantes.

  • Desconecte as saídas Ethernet de áreas públicas que não são utilizadas. Caso não seja possível, ao menos isole-as em um segmento de rede separado.
  • Posicione as tomadas Ethernet na área de cobertura das câmeras de segurança (isso pode inibir as ações ou, pelo menos, será útil caso precise investigar um incidente).
  • Utilize uma solução de segurança com tecnologias de controle de dispositivos confiáveis (por exemplo, o Kaspersky Endpoint Security for Business).
  • Considere utilizar uma solução especializada para monitorar anomalias e atividades suspeitas na rede (por exemplo, o Kaspersky Anti Targeted Attack Platform).