Um ataque de trickbot mostra o crescente alcance dos hackers militares dos EUA

Views: 98
0 0
Read Time:7 Minute, 43 Second

POR MAIS DE dois anos, o general Paul Nakasone prometeu que, sob sua liderança,o Comando Cibernético dos Estados Unidos “defenderia a frente”, encontrando adversários e interrompendo preventivamente suas operações. Agora, essa estratégia ofensiva tomou uma forma inesperada: uma operação projetada para desativar ou derrubar Trickbot, a maior botnet do mundo, acredita-se ser controlada por cibercriminosos russos. Ao fazer isso, o Cyber Command estabeleceu um novo, muito público e potencialmente confuso precedente de como os hackers dos EUA atacarão atores estrangeiros — mesmo aqueles que trabalham como criminosos não estatais.

Nas últimas semanas, o Cyber Command realizou uma campanha para interromper a coleção de mais de milhões de computadores da gangue Trickbot sequestrados com malware. Ele invadiu os servidores de comando e controle da botnet para cortar máquinas infectadas dos proprietários da Trickbot, e até injetou dados de lixo na coleta de senhas e detalhes financeiros que os hackers haviam roubado das máquinas das vítimas, na tentativa de tornar as informações inúteis. As operações foram relatadas pela primeira vez pelo The Washington Post krebs on Security. Pela maioria das medidas, essas táticas — bem como um esforço subsequente para interromper o Trickbot por empresas privadas, incluindo Microsoft, ESET, Symantec e Lumen Technologies — tiveram pouco efeito nas operações de longo prazo da Trickbot. Pesquisadores de segurança dizem que a botnet, que os hackers usaram para plantar ransomware em inúmeras redes de vítimas, incluindo hospitais e instalações de pesquisa médica, já se recuperou.

Mas, apesar de seus resultados limitados, o targeting trickbot do Cyber Command mostra o crescente alcance de hackers militares dos EUA, dizem observadores da política cibernética e ex-funcionários. E representa mais de um “primeiro”, diz Jason Healey, ex-funcionário da Casa Branca de Bush e atual pesquisador de conflitos cibernéticos na Universidade de Columbia. Não só este é o primeiro caso confirmado publicamente do Cyber Command atacando cibercriminosos não-estatais — embora aqueles cujos recursos tenham crescido ao nível de que representam um risco à segurança nacional — é na verdade o primeiro caso confirmado em que o Cyber Command atacou hackers de outro país para desabilitá-los, ponto final.

“É certamente um precedente”, diz Healey. “É a primeira operação pública e óbvia para parar a capacidade cibernética de alguém antes que ela possa ser usada contra nós para causar danos ainda maiores.”

“Há muitas maneiras pelas quais faz muito sentido colocar os operadores trickbots em seus passos repetidamente.”

Pesquisadores de segurança observaram estranhos acontecimentos na enorme coleção de computadores hackeados da Trickbot por semanas, ações que só seriam reveladas recentemente como o trabalho do Comando Cibernético dos EUA. A botnet ficou em grande parte offline em 22 de setembro, quando, em vez de se conectar de volta aos servidores de comando e controle para receber novas instruções, computadores com infecções trickbot receberam novos arquivos de configuração que lhes disseram para receber comandos em vez de um endereço IP incorreto que os isca dos botmasters, de acordo com a empresa de segurança Intel 471. Quando os hackers se recuperaram dessa interrupção inicial, o mesmo truque foi usado novamente pouco mais de uma semana depois. Pouco tempo depois, um grupo de empresas privadas de tecnologia e segurança lideradas pela Microsoft tentou cortar todas as conexões com os servidores de comando e controle baseados nos EUA da Trickbot,usando ordens judiciais para pedir aos provedores de serviços de Internet que parassem de direcionar tráfego para eles.

Mas nenhuma dessas ações impediu a Trickbot de adicionar novos servidores de comando e controle, reconstruindo sua infraestrutura em poucos dias ou mesmo horas após as tentativas de retirada. Pesquisadores da Intel 471 usaram suas próprias emulações do malware Trickbot para rastrear comandos enviados entre os servidores de comando e controle e computadores infectados, e descobriram que, após cada tentativa, o tráfego retornou rapidamente.

“A resposta curta é que eles estão completamente de volta à funcionar”, diz um pesquisador que trabalha em um grupo focado nos esforços de queda da indústria tecnológica, que pediu para não ser identificado. “Sabíamos que isso não resolveria o problema a longo prazo. Isso era mais sobre ver o que poderia ser feito através de caminhos x-y-z e ver a resposta.”

Mesmo assim, o envolvimento do Comando Cibernético nessas operações representa um novo tipo de alvo para os hackers militares de Fort Meade. Em operações passadas, o Comando Cibernético derrubou plataformas de comunicação do ISIS, eliminou servidores usados pela Agência de Pesquisa na Internet focada em desinformação ligada ao Kremlininterrompeu sistemas usados pela Guarda Revolucionária do Irã para rastrear e atingir navios. (A WIRED informou esta semana que, sob o comando de Nakasone, o Cyber Command realizou pelo menos duas outras campanhas de hackers desde o outono de 2019 que ainda não foram reveladas publicamente.) Mas, em contraste com esses esforços assimétricos para desativar sistemas de comunicação e vigilância inimigos, o ataque trickbot do Comando Cibernético representa sua primeira operação conhecida de “força em força”, observa Jason Healey — um ataque cibernético destinado a desativar os meios para um ataque cibernético inimigo.

Apesar de não ter conseguido interromper Trickbot por muito tempo, a primeira tentativa conhecida do Comando Cibernético nessa tática pode ter sido um sucesso, argumenta Bobby Chesney, professor de direito focado em segurança nacional na Universidade do Texas. Ele vê a operação como um exemplo primordial da doutrina de Nakasone de “engajamento persistente”, criando constantes interrupções para o inimigo projetadas para detê-los ou impor custos que enfraquecem sua capacidade de atacar.

“Há muitas maneiras pelas quais faz muito sentido colocar os operadores trickbots em seus passos repetidamente”, diz Chesney, “tanto para causar um pouco de apagões rolando para eles quanto para impor o que a Cybercom em outros contextos descreveu como um de seus objetivos, que é apenas aumentar o atrito para os adversários e tornar a vida mais difícil, fazê-los gastar seus recursos em outras coisas além de causar problemas diretamente.”

Mas outros não têm tanta certeza de que o Comando Cibernético é o braço certo do governo dos EUA para realizar ataques a organizações globais de crimes cibernéticos. J. Michael Daniel, coordenador de segurança cibernética da Casa Branca de Obama, argumenta que estabelecer um precedente de que hackers militares podem ser usados para perturbar cibercriminosos apresenta potenciais consequências não intencionais que merecem ser debatidas. “Há razões pelas quais não usamos os militares para fazer funções de policiamento. O trabalho dos militares no mundo físico é matar e destruir”, diz Daniel. “A função dos militares não é prender pessoas ou trazê-las para um sistema onde usamos o Estado de Direito para decidir se alguém cometeu um crime. É coagir as pessoas a fazer o que queremos que elas façam. É uma maneira muito diferente de olhar para o mundo. Você precisa pensar com muito cuidado se essas ferramentas são as apropriadas para a missão.”

Daniel ressalta que, se outros países realizassem operações semelhantes, eles poderiam muito bem atingir sistemas comprometidos nos EUA, com potenciais danos colaterais. “Todos esses sistemas residem no território de alguém”, diz Daniel. “Vamos ficar tão entusiasmados quando os militares brasileiros realizarem algumas dessas operações, ou os militares indianos, e eles entrarem em território americano?”

Mas Jason Healey, da Columbia, argumenta que se o papel do Comando Cibernético foi justificado depende exatamente do que a inteligência levou ao ataque. Tanto Nakasone, do Cyber Command, quanto a Microsoft fizeram declarações públicas sugerindo que trickbot representa uma ameaça para as próximas eleições, talvez até mesmo que possa ser cooptado pelo Kremlin para interromper os sistemas eleitorais. Os serviços de inteligência russos já comandaram botnets cibercriminosos antes, e Trickbot foi alugado para hackers do estado norte-coreano no passado. Se o Cyber Command está trabalhando para prevenir ou antecipar um ataque patrocinado pelo Estado, isso muda significativamente o precedente que está estabelecendo.

“Se esta é uma ferramenta de uso geral em vez de ‘em caso de emergência, quebre vidro’, então é definitivamente a caixa de Pandora”, diz Healey. “Mas se, por uma questão de política pública, dizemos: ‘Estamos nos aproximando de uma eleição, esta é uma botnet realmente difundida, e pode ser reaproveitada para a Rússia porque sabemos que é isso que eles fazem. E é aí que vamos usar nosso poder de fogo, para coisas assim, rapaz, isso faz muito sentido.”

Trickbot, enquanto isso, permanece vivo como sempre. A botnet é altamente resistente, diz o CEO da Intel 471, Mark Arena, devido a truques como usar o software de anonimato Tor para ocultar seus servidores de comando e controle e explorar o sistema de nomes de domínio descentralizado EmerDNS para registrar um servidor de backup em um domínio que pode se mover para um endereço IP diferente em caso de uma retirada. Por mais difícil que seja desativar a botnet a longo prazo, Arena diz que dá as boas-vindas ao Cyber Command para continuar tentando.

“Este é um dos principais criminosos cibernéticos, e eles são muito, muito bons no que fazem. E como está hoje, eles estão protegidos, fora do alcance da aplicação da lei ocidental. A melhor abordagem seria prendê-los. O segundo melhor é interrompê-los”, diz Arena. “Ter os militares dos EUA indo atrás desse tipo de grupo criminoso é certamente único. E espero que vejamos mais dele.

FONTE: WIRED

Previous post Assegurando a continuidade de negócios reduzindo o tempo de moradia do malware
Next post Microsoft corrige bug crítico do Outlook explorável via painel de visualização

Deixe um comentário