0
0
Por Felipe Demartini
A presença de ferramentas completas de desenvolvimento, compilação, testagem e execução de códigos em plataformas de ensino de programação está sendo usada por criminosos no lançamento de ciberataques. Mais uma vez, a ideia é aproveitar o caráter legítimo de tais espaços, como o DataCamp, para escapar de detecção e abusar de sistemas de integração que permitem a conexão a serviços externos.
O alerta foi feito pelo especialista Omri Segev Moyal, CEO da companhia de resposta a incidentes de segurança Profero. No centro da questão, apontas, estão as IDEs, ambientes integrados de desenvolvimento que contam com milhões de usuários em diferentes linguagens de programação, usada em um ataque detectado por sua empresa e que motivou o alerta sobre a utilização maliciosa das plataformas de ensino.
Outros sistemas do tipo também poderiam ser utilizados da mesma maneira. Enquanto os trabalhos da Profero se limitaram a uma plataforma, onde foi identificada a presença de atacantes, o relatório também indica perigo no uso da Binder e Code Anywhere da mesma maneira, que podem ser utilizadas sem registros ou com planos gratuitos.
No caso analisado pela equipe de Moyal, a infraestrutura do DataCamp foi usada na instalação de módulos que permitiam a conexão a um servidor da Amazon para extração de dados. Depois, o mesmo sistema foi usado em uma tentativa de rodar a ferramenta Nmap, que serve para mapeamento de rede e busca por dispositivos vulneráveis; a instalação não foi possível, mas o sistema permitiu a compilação e a execução dos binários da praga.
Outros ataques criminosos usam link para executar falsa ferramenta de segurança
Em outra exploração, um link de upload foi abusado para subir uma ferramenta que detectaria a presença de softwares de segurança. Também deu certo, demonstrando que a infraestrutura também poderia receber malware que seria enviado aos outros em ataques de phishing, aproveitando o aspecto legítimo do Datacamp e configurando uma arma importante para golpes desse tipo.
Moyal aponta ainda que até mesmo um monitoramento para conexões indevidas dessa categoria é complicado, uma vez que o Datacamp não divulga listas de grupos de IPs usados; por motivos óbvios, bloquear todas as conexões com o sistema também não é desejável. Enquanto isso, para os criminosos, surge uma nova via de ataques que, felizmente, ainda está em estado incipiente de utilização.
Em resposta ao relatório, o DataCamp afirmou que seus sistemas permitem o uso de um ambiente de programação em tempo real e que estão cientes do risco de abuso. Entretanto, a empresa lembrou que isso é proibido por seus termos de uso e que toma medidas para impedir esse tipo de utilização de sua plataforma, monitorando projetos e implementando políticas contra mau uso.
FONTE: CANALTECH