Informe aqui

O impacto da Inteligência de Ameaça nos adversários

Um dos grandes paradoxos da cibersegurança é que, à medida que os defensores se antecipam para identificar os próximos e mais recentes métodos de ataque, os invasores geralmente ficam para trás e reutilizam com sucesso os métodos antigos e óbvios.

Uma ironia semelhante assombra a pesquisa de inteligência de ameaça. Muitas vezes, quando os pesquisadores identificam e desvendam o trabalho dos grupos de ameaça, a atividade maliciosa exposta desaparece de vista e os pesquisadores seguem em frente.

O problema é que os agentes de ameaça mais avançados geralmente não o fazem. E com mais pessoas olhando para frente, do que para trás, os invasores estão livres para reestruturar e retomar os ataques antigos.

Neste Boletim de Inteligência de Ameaça, a Cylance faz um retrospecto e rastreia as mudanças feitas por um desses agentes – o malware conhecido como Promethium ou StrongPity – depois que vários pesquisadores em diferentes organizações expuseram suas ferramentas e seus métodos de desenvolvimento.

Os leitores aprenderão como é fácil para os agentes de ameaças mudar de rumo após a publicação de relatórios de inteligência e como pode ser valioso, para pesquisadores, organizações e o público, continuar olhando para trás.

Background e Discussão

Em março de 2018, pesquisadores do Citizen Lab, um instituto de pesquisa interdisciplinar da Universidade de Toronto focado na sobreposição de tecnologia, direitos humanos e segurança, publicaram um longo relatório em sua série Free Expression Online chamado “Bad Traffic”.

Suas descobertas lançaram luz sobre o que eles disseram ser o aparente uso do Deep Packet Inspection (DPI) da Sandvine/Procera para interceptar o tráfego benigno da Internet e inserir o malware Promethium (também conhecido como StrongPity) em regiões da Turquia e, indiretamente, da Síria. Eles também alegaram descobrir o aparente uso dessas DPI boxes para “secretamente arrecadar dinheiro por meio de anúncios afiliados e mineração de criptomoedas no Egito”.

Foi um relatório notável, não apenas por causa de seu conteúdo, mas também porque foi um bom exemplo do poder de um esforço comum em inteligência e pesquisa sobre ameaças públicas. O que o Citizen Lab fez foi efetivamente sintetizar descobertas anteriores sobre malware e outros métodos, publicadas por vários grupos diferentes, e juntá-las com sua própria pesquisa original para gerar novos insights.

O Citizen Lab inicialmente utilizou a pesquisa de 2016 da Kaspersky Lab sobre um malware chamado StrongPity – uma pesquisa que foi expandida no final daquele ano pela Microsoft, chamando o malware de Promethium.

Em seguida, o Citizen Lab incorporou as descobertas dos pesquisadores da ESET, que notaram uma variante do Promethium/StrongPity aparentemente sendo usada no nível ISP (provedor de acesso à internet) em dois países não identificados. A pesquisa do Citizen Lab sugeriu que os países aos quais os pesquisadores da ESET se referiam eram na verdade a Turquia e o Egito.

Deve-se notar que os porta-vozes da Sandvine/Procera e seu proprietário Francisco Partners negaram veementemente as descobertas do Citizen Lab. No entanto, a pesquisa com seus indicadores técnicos de comprometimento sobre o malware Promethium, recebeu cobertura de vários meios de comunicação, incluindo o Wall Street Journal em julho deste ano.

Em março, quase imediatamente após a publicação do Citizen Lab, a Cylance observou que os agentes de ameaça por trás do malware descrito no relatório mudaram de método. Acreditamos que o malware provavelmente faz parte de mais uma solução comercial (grayware) vendida a governos e agências governamentais, e temos motivos para acreditar que há uma forte conexão com uma empresa sediada na Itália – uma pista que esperamos investigar no futuro próximo.

Análise técnica

Dois meses após o relatório do Citizen Lab, a Cylance descobriu nova atividade do Promethium/StrongPity, utilizando nova infraestrutura. Todos os domínios observados pareciam ter sido registrados cerca de duas semanas após o relatório do Citizen Lab. O malware continuou a se adaptar à medida que novas informações eram publicadas. Mínimo esforço e mudanças de código bastaram para passar despercebido. A Cylance observou novos domínios, novos endereços IP, alterações de nome de arquivo e pequenas alterações de ofuscação de código.

No relatório do Citizen Lab, os pesquisadores disseram que o malware Promethium/StrongPity foi inserido no tráfego da Internet depois que os usuários fizeram solicitações legítimas para instaladores de aplicações comuns, geralmente gratuitos.

Nessa última avaliação, a Cylance descobriu que os seguintes instaladores legítimos foram alvo dos operadores desconhecidos do malware, muitos dos quais são exatamente os mesmos citados no relatório original do Citizen Lab.

Comentar

Clique aqui para comentar

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou quaisquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.