0
0
Descobriu-se que os hackers utilizaram habilmente dois sistemas de gerenciamento e monitoramento remoto (RMMs) prontos para uso para violar várias redes de agências do Poder Executivo Federal Civil (FCEB) nos EUA no verão passado.
Em 25 de janeiro, a Agência de Segurança Cibernética e Infraestrutura (CISA), a Agência Nacional de Segurança (NSA) e o Centro de Análise e Compartilhamento de Informações Multiestatais (MS-ISAC) divulgaram um comunicado conjunto detalhando os ataques, alertando a comunidade de segurança cibernética sobre o uso malicioso de software RMM comercial e oferecendo atenuações e indicadores de comprometimento a serem observados.
Os provedores de serviços de TI usam RMMs para monitorar e gerenciar remotamente as redes e terminais dos clientes. Mas os hackers podem usar o mesmo software para contornar as políticas típicas de controle de software e os requisitos de autorização nos computadores das vítimas – como o governo dos EUA descobriu.
Como os hackers violaram o governo com RMMs
Em outubro passado, a CISA conduziu uma análise retrospectiva do Einstein – seu sistema de detecção de invasões, implantado nas agências da FCEB. Os pesquisadores descobriram, talvez, mais do que esperavam.
Em meados de junho do ano passado, hackers enviaram um e-mail de phishing para o endereço do governo de um funcionário da FCEB. O e-mail solicitava que o funcionário ligasse para um número de telefone. Ligar para o número os levou a visitar um endereço da Web malicioso: “myhelpcare.online”.
A visita ao domínio desencadeou o download de um executável, que então se conectou a um segundo domínio, que é onde dois RMMs – AnyDesk e ScreenConnect (agora ConnectWise Control) – entraram em ação. O segundo domínio não instalou os clientes AnyDesk e ScreenConnect na máquina do alvo. Em vez disso, retrocedeu: baixando os programas como executáveis independentes e portáteis, configurados para se conectar de volta ao servidor do agente da ameaça.
Por que isso importa? “Como”, explicaram as organizações de autoria, “os executáveis portáteis não requerem privilégios de administrador, eles podem permitir a execução de software não aprovado, mesmo que um controle de gerenciamento de risco esteja em vigor para auditar ou bloquear a instalação do mesmo software na rede”.
Depois de zombar dos privilégios administrativos e dos controles de software, os invasores poderiam usar o executável “para atacar outras máquinas vulneráveis na intranet local ou estabelecer acesso persistente de longo prazo como um serviço de usuário local”.
Acontece, porém, que o compromisso de junho foi apenas a ponta de um iceberg. Três meses depois, o tráfego foi observado entre uma rede FCEB diferente e um domínio semelhante – “myhelpcare.cc” – e uma análise mais aprofundada, lembraram os autores, “identificou atividades relacionadas em muitas outras redes FCEB”.
Apesar de visar funcionários do governo, os invasores parecem ter motivação financeira. Depois de se conectarem às máquinas-alvo, eles induziam as vítimas a fazer login em suas contas bancárias e, em seguida, “usavam o acesso por meio do software RMM para modificar o resumo da conta bancária do destinatário”, escreveram os autores. “O resumo da conta bancária falsamente modificado mostrou que o destinatário foi reembolsado por engano com uma quantia em excesso de dinheiro. Os atores então instruíram o destinatário a ‘reembolsar’ esse valor em excesso ao operador do golpe.”
Por que os hackers gostam de RMMs
Os hackers têm um longo histórico de utilização de software legítimo para fins ilegítimos. As mais populares são as ferramentas red-team – como Cobalt Strike e Metasploit – que os defensores cibernéticos usam para testar seus próprios sistemas, mas podem ser aplicadas da mesma maneira em um contexto adversário.
Mesmo software sem relação óbvia com segurança cibernética pode ser reaproveitado para o mal. Como apenas um exemplo, clusters de hackers norte-coreanos foram observados sequestrando serviços de marketing por e-mail para enviar iscas de phishing através de filtros de spam.
Nesse caso, os RMMs se tornaram onipresentes nos últimos anos, permitindo aos invasores que os usam uma maneira fácil de se esconder à vista de todos. Mais do que tudo, porém, é o grau de autonomia que os RMMs exigem para executar suas funções normais que os hackers usam a seu favor.
“Muitos sistemas RMM usam ferramentas incorporadas ao sistema operacional”, explica Erich Kron, defensor da conscientização de segurança da KnowBe4, a Dark Reading. “Essas, assim como as ferramentas RMM criadas especificamente, normalmente têm níveis muito altos de acesso ao sistema, tornando-as muito valiosas para os invasores”.
“Para aumentar o problema”, observa Kron, “as ferramentas RMM são frequentemente excluídas do monitoramento de segurança, pois podem desencadear falsos positivos e parecer maliciosas e incomuns ao fazer seu trabalho legítimo”.
Juntos, “isso torna as atividades muito mais difíceis de detectar, pois elas se misturam com as operações normais de computação”, acrescenta. As organizações que conseguirem identificar a diferença encontrarão mais problemas na prevenção do uso malicioso de RMMs, mantendo o uso legítimo de RMMs nos mesmos sistemas.
Não é de admirar, portanto, que mais hackers estejam adotando esses programas em seus fluxos de ataque . Em um relatório de 26 de janeiro cobrindo suas descobertas de resposta a incidentes do quarto trimestre de 2022, o Cisco Talos fez uma observação especial sobre o Syncro, um RMM que eles encontraram em quase 30% de todos os compromissos.
Foi “um aumento significativo em comparação com os trimestres anteriores”, explicaram os pesquisadores da Talos. “O Syncro estava entre muitas outras ferramentas de gerenciamento e acesso remoto, incluindo AnyDesk e SplashTop, que os adversários aproveitaram para estabelecer e manter o acesso remoto a hosts comprometidos.”
Para concluir seu aviso, a NSA, CISA e MS-ISAC sugeriram etapas que os defensores da rede podem adotar para combater ataques habilitados para RMM, incluindo:
- Boa higiene e conscientização sobre phishing,
- Identificar o software de acesso remoto em sua rede e se ele está sendo carregado apenas na memória,
- Implementar controles e auditar RMMs não autorizados em execução como um executável portátil,
- Exigir que os RMMs sejam usados apenas em redes privadas virtuais aprovadas e interfaces de desktop virtual, e
- Bloqueio de conexões em portas e protocolos RMM comuns no perímetro da rede.
FONTE: DARK READING