0
0
Construir e vender falhas é um processo complicado que inclui grupos criminosos e apoiados pelo Estado.
O rastreamento do trabalho de escritores de malware deu aos pesquisadores de segurança uma janela para o complicado e amplamente escondido mundo de compra e venda de explorações do Windows.
Os pesquisadores da empresa de segurança Check Point se concentraram em dois dos criadores mais prolíficos das explorações do Windows, que entre eles foram responsáveis por pelo menos 16 diferentes explorações do Windows Kernel Local Privilege Escalation, muitas das quais eram zero-dias no momento do desenvolvimento.
Essas explorações – falhas de segurança armadas – são uma parte importante de como o malware atinge seus objetivos.
Embora o objetivo do relatório mostre como é possível rastrear as impressões digitais de escritores de malware – um conhecido como Volodya e outro conhecido como PlayBit neste caso – através de seus hábitos e práticas no desenvolvimento de explorações, ele também dá uma visão da economia complicada do mundo oculto do malware.
Cada pedaço de malware é muitas vezes pensado como um único pedaço de código criado por uma única pessoa ou equipe. No entanto, na realidade, criar o malware – especialmente o material sofisticado usado por estados-nação ou criminosos – envolve muitos grupos diferentes.
Neste exemplo, descobrir uma falha de software em particular e transformá-lo em uma exploração, que pode então ser aparafusada em um pedaço de malware existente para melhorar suas capacidades, requer coordenação entre grupos. Explorar escritores e desenvolvedores de malware – apoiados pelo Estado ou criminosos – concordará com uma API para permitir que os diferentes componentes se conectem.
“Essa API de integração não é exclusiva dos atores estatais, mas é uma característica comum no ‘mercado livre’ de explorações. Quer envolva fóruns subterrâneos, explorando corretores ou empresas cibernéticas ofensivas, todos eles fornecem aos seus clientes instruções sobre como integrar a exploração em seus malwares”, disse o relatório da Check Point.
Esses desenvolvedores – que podem ser indivíduos ou equipes trabalhando juntos – venderão as façanhas que desenvolvem tanto para gangues de ransomware quanto para grupos apoiados pelo Estado, que os incorporarão em seus próprios projetos de malware. Embora seja difícil saber pelo quanto eles vendem, eles certamente colocaram alguns preços altos em explorações no passado.
Como observam os pesquisadores da Check Point, a lista de clientes de um dos desenvolvedores de exploração inclui autores de trojans banqueiros como Ursnif, autores de ransomware como GandCrab, Cerber e Magniber, e grupos APT como Turla, APT28 e Buhtrap (que começaram em crimes cibernéticos antes de entrar em espionagem cibernética).
Explorações de zero-day são mais propensas a serem vendidas para grupos APT, neste caso as russas.
“Os clientes da APT, Turla, APT28 e Buhtrap, são todos comumente atribuídos à Rússia e é interessante descobrir que mesmo esses grupos avançados compram explorações em vez de desenvolvê-las internamente. Este é outro ponto que reforça ainda mais nossa hipótese de que as explorações escritas podem ser tratadas como uma parte separada e distinta do malware”, disse o relatório.
Enquanto grupos patrocinados pelo Estado estão dispostos a pagar um prêmio por explorações de zero-day, as gangues criminosas também estão dispostas a clientes para menos ataques de última geração, e são mais propensas a comprar os chamados “1-day” (vulnerabilidades que foram relatadas). Estes são, em alguns casos, os mesmos dias zero sendo revendidos mais tarde.
“Sem mais informações, só podemos supor que, uma vez que um dia de 0 dias é detectado pela indústria de segurança, a exploração é então reciclada e vendida a um preço mais baixo como um dia não exclusivo”, disse o relatório.
Os dois escritores de exploração (ou grupos) rastreados pelos pesquisadores provavelmente explicarão uma parte significativa do mercado para explorações do Windows Kernel Local Privilege Escalation, embora, é claro, possa haver muito mais explorações de zero-day em uso, já que o objetivo de um dia zero é que ninguém sabe sobre isso, como observam os pesquisadores.
“É impossível dizer o número total de vulnerabilidades do kernel do Windows zero-day que estão sendo ativamente exploradas na natureza”, disse o relatório.
“Atores de estado-nação são menos propensos a serem pegos e, portanto, a comunidade infosec não tem visibilidade clara de sua caixa de munição.”
FONTE: ZDNET