0
0
Pesquisadores da ESET apresentam sua análise de todos os frameworks maliciosos usados para atacar redes air-gapped conhecidas até o momento. Uma rede air-gapped é aquela que está fisicamente isolada de qualquer outra rede para aumentar sua segurança. Esta técnica pode ajudar a proteger as redes mais sensíveis: sistemas de controle industrial (ICS) que operam oleodutos e redes elétricas, sistemas de votação e sistemas SCADA que operam centrífugas nucleares, só para citar alguns.
Naturalmente, os sistemas que executam infraestrutura crítica são de grande interesse para inúmeros atacantes, incluindo todos e quaisquer grupos APT. Os grupos APT são tipicamente patrocinados ou parte dos esforços do estado-nação. Em última análise, se um sistema com folgas aéreas for infiltrado, esses atores de ameaças podem interceptar dados confidenciais para espionar países e organizações.
Somente no primeiro semestre de 2020, surgiram quatro estruturas maliciosas anteriormente desconhecidas projetadas para violar redes com folgas de ar, elevando o número total para 17.
Os desafios de descobrir e analisar esse tipo de estrutura
Descobrir e analisar esse tipo de estrutura coloca desafios únicos, pois às vezes existem vários componentes que precisam ser analisados juntos para ter uma visão completa de como os ataques estão realmente sendo realizados.
Usando o conhecimento tornado público por mais de 10 organizações diferentes ao longo dos anos, e algumas análises ad hoc para esclarecer ou confirmar alguns detalhes técnicos, os pesquisadores colocam as estruturas em perspectiva para ver o que a história poderia ensinar aos profissionais de segurança cibernética e, até certo ponto, até mesmo ao público em geral sobre como melhorar a segurança da rede com folgas de ar e nossas habilidades para detectar e mitigar futuros ataques. Eles revisitaram cada quadro conhecido até o momento, comparando-os lado a lado em um estudo exaustivo que revela várias semelhanças importantes, mesmo dentro daquelas produzidas com 15 anos de intervalo.
“Infelizmente, os grupos de ameaças conseguiram encontrar maneiras sorrateiras de atingir esses sistemas. À medida que as air-gapped se tornam mais difundidas e as organizações estão integrando maneiras mais inovadoras de proteger seus sistemas, os ciberataques estão igualmente aprimorando suas habilidades para identificar novas vulnerabilidades a serem exploradas”, diz Alexis Dorais-Joncas, que lidera a equipe de inteligência de segurança da ESET em Montreal.
“Para organizações com sistemas de informação críticos e/ou informações classificadas, a perda de dados pode ser extremamente prejudicial. O potencial que esses quadros têm é muito preocupante. Nossas descobertas mostram que todos os frameworks são projetados para realizar alguma forma de espionagem, e todos os frameworks usaram unidades USB como meio de transmissão física para transferir dados dentro e para fora das redes de folga de ar alvo”, explica Dorais-Joncas.
Métodos de detecção e mitigação para proteger redes com folga de ar contra estruturas maliciosas
Com os riscos identificados, a ESET reuniu a seguinte lista de métodos de detecção e mitigação para proteger as redes com folgas de ar contra as principais técnicas usadas por todos os frameworks maliciosos conhecidos publicamente até o momento:
- Impedir o acesso de e-mail em hosts conectados — Impedir o acesso direto a e-mails em sistemas conectados atenuaria esse popular vetor de compromisso. Isso pode ser implementado com a arquitetura de isolamento do navegador/e-mail, onde toda a atividade de e-mail é realizada em um ambiente virtual separado e isolado.
- Desative as portas USB e higienize as unidades USB — Remover ou desativar fisicamente as portas USB em todos os sistemas executados em uma rede com folga de ar é a melhor proteção. Embora a remoção de portas USB de todos os sistemas possa não ser aceitável para todas as organizações, ainda pode ser possível limitar as portas USB funcionais apenas aos sistemas que absolutamente exigem isso. Um processo de higienização da unidade USB realizado antes que qualquer unidade USB seja inserida em um sistema com folga de ar pode interromper muitas das técnicas implementadas pelas estruturas estudadas.
- Restringir a execução de arquivos em unidades removíveis — Várias técnicas usadas para comprometer sistemas com folga de ar acabam com a execução direta de um arquivo executável armazenado em algum lugar do disco, o que poderia ser evitado configurando as políticas relevantes de Acesso ao Armazenamento Removível.
- Execute análises regulares do sistema — Realizar uma análise regular do sistema com folga de ar para verificar se há estruturas maliciosas é uma parte importante da segurança, a fim de manter os dados seguros.
Além disso, vale a pena notar que os produtos de segurança de terminais geralmente são capazes de detectar e bloquear várias classes de exploração, portanto, ter essa tecnologia não apenas implantada, mas também atualizada pode ter um impacto positivo.
“Manter um sistema totalmente fechado com ar traz os benefícios de proteção extra. Mas, assim como todos os outros mecanismos de segurança, a abertura do ar não é uma bala de prata e não impede que atores maliciosos predarem sistemas desatualizados ou maus hábitos dos funcionários”, comenta Dorais-Joncas.
FONTE: HELPNET SECURITY