Até as ameaças mais avançadas dependem de sistemas sem patches
Os cibercriminosos comuns são uma ameaça, não há dúvida sobre isso, de hackers de quarto a grupos de ransomware, os cibercriminosos estão causando muitos danos. Mas tanto as ferramentas usadas quanto a ameaça representada pelos cibercriminosos comuns são insignificantes em comparação com as ferramentas usadas por grupos mais profissionais, como os famosos grupos de hackers e grupos patrocinados pelo Estado.
Na verdade, essas ferramentas podem ser quase impossíveis de detectar e de se proteger. BVP47 é um caso em questão. Neste artigo, descreveremos como esse poderoso malware patrocinado pelo estado circula silenciosamente há anos, como ele se disfarça de maneira tão inteligente e explicamos o que isso significa para a segurança cibernética na empresa.
História de fundo por trás do BVP47
É uma longa história, digna de um romance de espionagem. No início deste ano, um grupo chinês de pesquisa de segurança cibernética chamado Pangu Lab publicou um relatório detalhado de 56 páginas cobrindo um pedaço de código malicioso que o grupo de pesquisa decidiu chamar de BVP47 (porque BVP era a string mais comum no código e 47 dado que o algoritmo de criptografia usa o valor numérico 0x47).
O relatório é realmente aprofundado com uma explicação técnica completa, incluindo um mergulho profundo no código do malware. Ele revela que o Pangu Lab originalmente encontrou o código durante uma investigação de 2013 sobre o estado da segurança do computador em uma organização que provavelmente era um departamento do governo chinês, mas por que o grupo esperou até agora para publicar o relatório não é declarado.
Como fator chave, o relatório vincula o BVP47 ao “Equation Group”, que por sua vez está vinculado à Unidade de Operações de Acesso Adaptado da Agência de Segurança Nacional dos Estados Unidos (NSA). O Pangu Lab chegou a essa conclusão porque encontrou uma chave privada que poderia acionar o BVP47 dentro de um conjunto de arquivos publicados pelo grupo The Shadow Brokers (TSB). A TSB atribuiu esse dump de arquivo ao Equation Group, o que nos leva de volta à NSA. Você simplesmente não conseguia inventar, e é uma história digna de um filme.
Como o BVP47 funciona na prática?
Mas o suficiente sobre o elemento espião vs espião da história. O que o BVP47 significa para a segurança cibernética? Em essência, ele funciona como uma porta traseira muito inteligente e muito bem escondida no sistema de rede de destino, o que permite que a parte que o opera obtenha acesso não autorizado aos dados e faça isso sem ser detectado.
A ferramenta tem alguns truques muito sofisticados na manga, em parte contando com o comportamento de exploração que a maioria dos administradores de sistema não procuraria, simplesmente porque ninguém pensou que qualquer ferramenta de tecnologia se comportaria assim. Ele inicia seu caminho infeccioso configurando um canal de comunicação secreto em um lugar que ninguém pensaria em olhar: pacotes TCP SYN.
Em uma virada particularmente insidiosa, o BVP47 tem a capacidade de escutar na mesma porta de rede em uso por outros serviços, o que é algo muito difícil de fazer. Em outras palavras, pode ser extremamente difícil de detectar porque é difícil diferenciar entre um serviço padrão usando uma porta e o BVP47 usando essa porta.
A dificuldade em se defender contra esta linha de ataque
Em mais uma reviravolta, a ferramenta testa regularmente o ambiente em que é executada e apaga seus rastros ao longo do caminho, ocultando seus próprios processos e atividades de rede para garantir que não haja vestígios para encontrar.
Além disso, o BVP47 usa vários métodos de criptografia em várias camadas de criptografia para comunicação e exfiltração de dados. É típico das ferramentas de primeira linha usadas por grupos avançados de ameaças persistentes, incluindo os grupos patrocinados pelo estado.
Tomado em conjunto, equivale a um comportamento incrivelmente sofisticado que pode iludir até as defesas de segurança cibernética mais astutas. A combinação mais capaz de firewalls, proteção avançada contra ameaças e similares ainda pode falhar em parar ferramentas como o BVP47. Esses backdoors são tão poderosos por causa dos recursos que os atores estatais endinheirados podem usar para desenvolvê-los.
Como sempre, a boa prática é sua melhor aposta
Isso não significa, é claro, que as equipes de segurança cibernética devam simplesmente desistir. Há uma série de atividades que podem tornar, no mínimo, mais difícil para um ator implantar uma ferramenta como o BVP47. Vale a pena realizar atividades de conscientização e detecção, pois o monitoramento rigoroso ainda pode detectar um intruso remoto. Da mesma forma, os honeypots podem atrair invasores para um alvo inofensivo, onde eles podem se revelar.
No entanto, há uma abordagem simples de primeiros princípios que oferece uma enorme quantidade de proteção. Até mesmo ferramentas sofisticadas como o BVP47 dependem de software sem patches para se firmar. A correção consistente do sistema operacional e dos aplicativos dos quais você depende é, portanto, seu primeiro porto de escala.
O ato de aplicar um patch por si só não é a etapa mais desafiadora a ser tomada, mas como sabemos, corrigir rapidamente todas as vezes é algo com o qual a maioria das organizações luta.
E claro, é exatamente nisso que os agentes de ameaças, como a equipe por trás do BVP47 confiam, pois mentem e esperam por seu alvo, que inevitavelmente teria recursos demais para corrigir consistentemente, eventualmente perdendo um patch crítico.
O que as equipes pressionadas podem fazer? A aplicação de patches ao vivo e automatizada é uma solução, pois elimina a necessidade de corrigir manualmente e elimina as reinicializações demoradas e o tempo de inatividade associado. Onde a aplicação de patches ao vivo não for possível, a verificação de vulnerabilidades pode ser usada para destacar os patches mais críticos.
Não o primeiro e não o último
Relatórios detalhados como esse são importantes para nos ajudar a ficar atentos a ameaças críticas. Mas o BVP47 está em jogo há anos e anos antes deste relatório público, e inúmeros sistemas foram atacados nesse meio tempo, incluindo alvos de alto perfil em todo o mundo.
Não sabemos quantas ferramentas semelhantes existem, tudo o que sabemos é o que precisamos fazer para manter uma postura de segurança cibernética consistentemente forte : monitorar, distrair e corrigir. Mesmo que as equipes não consigam mitigar todas as ameaças, elas podem pelo menos montar uma defesa eficaz, dificultando ao máximo a operação de malware com sucesso.
Este arrtigo é uma tradução de: https://thehackernews.com/2022/06/even-most-advanced-threats-rely-on.html (Autor: )
