O ano de 2019 será lembrado como o ano em que os principais erros de segurança foram divulgados em um grande número de servidores VPN corporativos, como os vendidos pela Pulse Secure, Palo Alto Networks, Fortinet e Citrix. Um novo relatório revela que as unidades de hackers apoiadas pelo governo do Irã priorizaram no ano passado a exploração de bugs de VPN assim que se tornaram públicos, a fim de se infiltrar e plantar backdoors em empresas de todo o mundo. Portanto, hackers do Irã exploram falha VPN que pode comprometer empresas e governos.
Segundo um relatório da empresa de segurança cibernética israelense ClearSky, os hackers iranianos têm como alvo empresas “dos setores de TI, Telecomunicações, Petróleo e Gás, Aviação, Governo e Segurança”.
ALGUNS ATAQUES OCORRERAM HORAS APÓS A DIVULGAÇÃO PÚBLICA
O relatório vem dissipar a noção de que os hackers iranianos não são sofisticados e menos talentosos do que seus colegas russos, chineses ou norte-coreanos.
O ClearSky diz que “os grupos iranianos de ATP* desenvolveram boas capacidades técnicas ofensivas e são capazes de explorar vulnerabilidades de 1 dia em períodos relativamente curtos”.
Em alguns casos, o ClearSky diz que observou grupos iranianos explorando falhas de VPN em poucas horas após a divulgação pública dos bugs.
* ATP significa ameaça persistente avançada e é um termo frequentemente usado para descrever unidades de hackers de estados nacionais.
Hackers iranianos invadiram servidores VPN para plantar backdoors
O ClearSky diz que, em 2019, os grupos iranianos foram rápidos em explorar vulnerabilidades divulgadas na VPN Pulse Secure “Connect” (CVE-2019-11510), na Fortinet FortiOS VPN (CVE-2018-13379) e na Palo Alto Networks “Global Protect” VPN (CVE-2019-1579).
Os ataques contra esses sistemas começaram no verão passado, quando detalhes sobre os bugs foram divulgados, mas eles também continuaram em 2020.
Além disso, à medida que os detalhes sobre outras falhas da VPN foram tornados públicos, os grupos iranianos também incluíram essas explorações em seus ataques (ou seja, CVE-2019-19781, uma vulnerabilidade divulgada nas VPNs Citrix “ADC”).
HACKEANDO METAS CORPORATIVAS PARA PLANTAR BACKDOORS
De acordo com o relatório ClearSky, o objetivo desses ataques é violar redes corporativas, mover-se lateralmente pelos sistemas internos e plantar backdoors para explorar posteriormente.
Enquanto o primeiro estágio (violação) de seus ataques visava VPNs, a segunda fase (movimento lateral) envolveu uma coleção abrangente de ferramentas e técnicas, mostrando o quão avançadas essas unidades iranianas de hackers se tornaram nos últimos anos.
Por exemplo, hackers abusaram de uma técnica conhecida há muito tempo para obter direitos de administrador em sistemas Windows através da ferramenta de acessibilidade “Sticky Keys” [ 1 , 2 , 3 , 4 ].
Eles também exploraram ferramentas de hackers de código aberto, como JuicyPotato e Invoke the Hash, mas também usaram softwares sysadmin legítimos, como Putty, Plink, Ngrok, Serveo ou FRP.
Além disso, no caso em que os hackers não encontraram ferramentas de código aberto ou utilitários locais para ajudar em seus ataques, eles também tinham o conhecimento para desenvolver malware personalizado. A ClearSky diz que encontrou ferramentas como:
- STSRCheck – Bancos de dados auto-desenvolvidos e ferramenta de mapeamento de portas abertas.
- POWSSHNET – Malware backdoor auto-desenvolvido para encapsulamento RDP sobre SSH.
- VBScripts personalizados – scripts para baixar arquivos TXT do servidor de comando e controle (C2 ou C&C) e unificar esses arquivos em um arquivo executável portátil.
- Backdoor baseado em soquete sobre cs.exe – Um arquivo EXE usado para abrir uma conexão baseada em soquete para um endereço IP codificado.
- Port.exe – Ferramenta para verificar portas predefinidas em busca de um endereço IP.
VÁRIOS GRUPOS AGINDO COMO UM
Outra revelação do relatório ClearSky é que os grupos iranianos também parecem estar colaborando e agindo como um, algo que não havia sido visto no passado.
Relatórios anteriores sobre atividades hackers iranianas detalhavam diferentes grupos de atividades, geralmente o trabalho de um grupo singular.
O relatório do ClearSky destaca que os ataques contra servidores VPN em todo o mundo parecem ser o trabalho de pelo menos três grupos iranianos – ou seja, o APT33 (Elfin, Shamoon), o APT34 (Oilrig) e o APT39 (Chafer).
O TRATAMENTO DE ATAQUES DE LIMPEZA DE DADOS
Atualmente, o objetivo desses ataques parece realizar o reconhecimento e instalar backdoors nas operações de vigilância.
No entanto, o ClearSky teme que o acesso a todas essas redes corporativas infectadas também possa ser armado no futuro para implantar malware de limpeza de dados que pode sabotar empresas e derrubar redes e operações comerciais.
Tais cenários são possíveis e muito plausíveis. Desde setembro de 2019, duas novas linhagens de malware para limpeza de dados (ZeroCleare e Dustman) foram descobertas e vinculadas a hackers iranianos.
Além disso, o ClearSky também não descarta que os hackers iranianos possam explorar o acesso a essas empresas violadas para ataques da cadeia de suprimentos contra seus clientes.
Essa teoria é apoiada pelo fato de que, no início deste mês, o FBI enviou um alerta de segurança ao setor privado dos EUA, sobre ataques contínuos contra empresas da cadeia de suprimentos de software”, incluindo entidades que apoiam o Industrial Control Systems (ICS) para geração global de energia, transmissão e distribuição”. O setor de ICS e energia tem sido um alvo tradicional dos grupos hackers iranianos no passado.
O mesmo alerta do FBI observou ligações entre os malwares implantados nesses ataques e o código usado anteriormente pelo grupo APT33 do Irã, sugerindo fortemente que os hackers iranianos podem estar por trás desses ataques.
Além disso, o ataque contra a Bapco, companhia nacional de petróleo do Bahrain, usou a mesma tática de “violação de VPN -> movimento lateral” que a ClearSky descreveu em seu relatório.
O ClearSky agora alerta que, após meses de ataques, as empresas que finalmente corrigiram seus servidores VPN também devem verificar suas redes internas quanto a sinais de comprometimento.
O relatório da ClearSky inclui indicadores de comprometimento (COIs) que as equipes de segurança podem usar para verificar logs e sistemas internos em busca de sinais de invasão por um grupo iraniano.
No entanto, as mesmas falhas também foram exploradas por hackers chineses e vários grupos de ransomware e criptografia.
NOVAS FALHAS DE VPN
Além disso, levando em conta as conclusões do relatório ClearSky, podemos esperar que os hackers iranianos também aproveitem a oportunidade de explorar novas falhas de VPN assim que se tornarem públicas.
Isso significa que podemos esperar que os hackers iranianos tenham como alvo os servidores SonicWall SRA e SMA VPN no futuro, depois que no início desta semana os pesquisadores de segurança publicaram detalhes sobre seis vulnerabilidades que afetam esses dois produtos.
Fonte: ZDNet