Um novo método de atribuição ajudou a Kaspersky Lab a identificar um false flag durante os Jogos Olímpicos de Pyeongchang
Cancún, México, 8 de março de 2018 – A
Equipe de Pesquisa e Análise Global da Kaspersky Lab publicou os
resultados de sua própria pesquisa sobre ataques do malware Olympic
Destroyer. Durante a análise foram percebidas evidências técnicas de um
“false flag” muito sofisticado colocado no worm pelo criador do malware a
fim de ludibriar os caçadores de ameaças em relação a sua origem real.
O worm Olympic Destroyer ganhou algumas manchetes durante os Jogos Olímpicos de Inverno. Os Jogos Olímpicos de Pyeongchang sofreram um ataque cibernético que paralisou temporariamente os sistemas de TI antes a cerimônia de abertura oficial, desligando monitores de vídeo, desativando o Wi-Fi e derrubando o site dos Jogos Olímpicos, impedindo a impressão de ingressos pelos visitantes. A Kaspersky Lab também descobriu que várias instalações nos resorts de esqui na Coreia do Sul foram vítimas desse worm, que desativou o funcionamento de terminais de esqui e teleféricos nas estações. Embora o impacto real dos ataques desse malware tenha sido limitado, ficou claro que ele poderia ser devastador, mas, felizmente, isso não aconteceu.
No entanto, o verdadeiro interesse do setor de cibersegurança não está no dano potencial ou mesmo no prejuízo real causado pelos ataques do Destroyer, mas na origem do malware. É possível que o Olympic Destroyer seja o malware sofisticado com mais hipóteses de atribuição apresentadas. Dias após sua descoberta, as equipes de pesquisa do mundo inteiro, em conjunto, conseguiram atribuir esse malware à Rússia, China e Coréia do Norte, com base em vários recursos antes atribuídos a agentes de espionagem e sabotagem cibernética supostamente localizados nesses países ou que trabalhavam para seus governos.
Os pesquisadores da Kaspersky Lab também tentaram descobrir qual grupo de hackers estava por trás do malware. Em algum ponto da pesquisa, eles encontraram algo que parecia uma prova certa da conexão do malware com o Lazarus, um grupo implacável apoiado por nações-estado vinculado à Coreia do Norte.
Essa conclusão foi baseada em um único indício deixado pelos invasores. É possível usar uma combinação de determinadas características do ambiente de desenvolvimento do código armazenado nos arquivos como ‘impressão digital’ que, em alguns casos, identifica os autores do malware e seus projetos. Essa impressão digital da amostra analisada pela Kaspersky Lab teve correspondência de 100% com componentes já conhecidos do malware Lazarus e nenhuma sobreposição com outros arquivos limpos ou maliciosos reconhecidos pela Kaspersky Lab. Em associação com outras semelhanças em táticas, técnicas e procedimentos (TTPs), isso levou os pesquisadores à conclusão preliminar de que o Olympic Destroyer era mais uma iniciativa do grupo Lazarus. Porém, as intenções e outras inconsistências com as TTPs do Lazarus descobertas durante a investigação da Kaspersky Lab no local comprometido na Coreia do Sul fizeram os pesquisadores rever o artefato raro.
Após mais um exame cuidadoso das provas e a verificação manual de cada perfil, eles descobriram que o conjunto de características não correspondia ao código. Ele foi forjado para coincidir perfeitamente com a impressão digital usada pelo Lazarus.
Como resultado, os pesquisadores concluíram que a ‘impressão digital’ das características é um ‘false flag’ extremamente sofisticado, colocado intencionalmente no malware para dar aos caçadores de ameaças a impressão de que descobriram provas definitivas, desviando-os do caminho para uma atribuição mais precisa.
“Pelo que sabemos, as evidências que encontramos não eram utilizadas antes na atribuição. Mesmo assim, os invasores decidiram usá-las, prevendo que alguém as descobriria. Eles contaram com o fato de que é muito difícil comprovar a falsificação desse artefato. É como se um criminoso tivesse roubado o DNA de alguém para deixar na cena do crime. Nós descobrimos e provamos que o DNA encontrado foi plantado na cena do crime propositalmente. Tudo isso mostra quanto os invasores estão dispostos a investir para não serem identificados pelo máximo de tempo possível. Sempre dissemos que a atribuição no ciberespaço é muito difícil, pois muitas coisas podem ser falsificadas, e o Olympic Destroyer é um exemplo muito preciso disso”, disse Vitaly Kamluk, chefe da equipe de pesquisa da Kaspersky Lab na APAC.
“Outro aprendizado dessa história para nós é que a atribuição deve ser levada muito a sério. Considerando o nível de politização do ciberespaço nos últimos tempos, uma atribuição incorreta poderia ter consequências graves, e os agentes poderiam tentar manipular a opinião da comunidade de segurança a fim de influenciar a pauta geopolítica”, concluiu.
A atribuição precisa do Olympic Destroyer ainda está em aberto, simplesmente porque trata-se de um exemplo único da implementação de “false flags” de forma muito sofisticada. No entanto, os pesquisadores da Kaspersky Lab descobriram que os invasores usaram o serviço de proteção VPN NordVPN e um provedor de hospedagem chamado MonoVM em suas ações. Ambos aceitam pagamento em bitcoins. Essas e outras TTPs já foram vistas sendo usadas pelo Sofacy, o agente de ameaça persistente que usa o idioma russo.
Os produtos da Kaspersky Lab detectam e bloqueiam o malware Olympic Destroyer.
Leia mais sobre a investigação dos ataques do Olympic Destroyer na Coreia do Sul e na Europa pelos pesquisadores da Kaspersky Lab na postagem do blog em Securelist.com.
O worm Olympic Destroyer ganhou algumas manchetes durante os Jogos Olímpicos de Inverno. Os Jogos Olímpicos de Pyeongchang sofreram um ataque cibernético que paralisou temporariamente os sistemas de TI antes a cerimônia de abertura oficial, desligando monitores de vídeo, desativando o Wi-Fi e derrubando o site dos Jogos Olímpicos, impedindo a impressão de ingressos pelos visitantes. A Kaspersky Lab também descobriu que várias instalações nos resorts de esqui na Coreia do Sul foram vítimas desse worm, que desativou o funcionamento de terminais de esqui e teleféricos nas estações. Embora o impacto real dos ataques desse malware tenha sido limitado, ficou claro que ele poderia ser devastador, mas, felizmente, isso não aconteceu.
No entanto, o verdadeiro interesse do setor de cibersegurança não está no dano potencial ou mesmo no prejuízo real causado pelos ataques do Destroyer, mas na origem do malware. É possível que o Olympic Destroyer seja o malware sofisticado com mais hipóteses de atribuição apresentadas. Dias após sua descoberta, as equipes de pesquisa do mundo inteiro, em conjunto, conseguiram atribuir esse malware à Rússia, China e Coréia do Norte, com base em vários recursos antes atribuídos a agentes de espionagem e sabotagem cibernética supostamente localizados nesses países ou que trabalhavam para seus governos.
Os pesquisadores da Kaspersky Lab também tentaram descobrir qual grupo de hackers estava por trás do malware. Em algum ponto da pesquisa, eles encontraram algo que parecia uma prova certa da conexão do malware com o Lazarus, um grupo implacável apoiado por nações-estado vinculado à Coreia do Norte.
Essa conclusão foi baseada em um único indício deixado pelos invasores. É possível usar uma combinação de determinadas características do ambiente de desenvolvimento do código armazenado nos arquivos como ‘impressão digital’ que, em alguns casos, identifica os autores do malware e seus projetos. Essa impressão digital da amostra analisada pela Kaspersky Lab teve correspondência de 100% com componentes já conhecidos do malware Lazarus e nenhuma sobreposição com outros arquivos limpos ou maliciosos reconhecidos pela Kaspersky Lab. Em associação com outras semelhanças em táticas, técnicas e procedimentos (TTPs), isso levou os pesquisadores à conclusão preliminar de que o Olympic Destroyer era mais uma iniciativa do grupo Lazarus. Porém, as intenções e outras inconsistências com as TTPs do Lazarus descobertas durante a investigação da Kaspersky Lab no local comprometido na Coreia do Sul fizeram os pesquisadores rever o artefato raro.
Após mais um exame cuidadoso das provas e a verificação manual de cada perfil, eles descobriram que o conjunto de características não correspondia ao código. Ele foi forjado para coincidir perfeitamente com a impressão digital usada pelo Lazarus.
Como resultado, os pesquisadores concluíram que a ‘impressão digital’ das características é um ‘false flag’ extremamente sofisticado, colocado intencionalmente no malware para dar aos caçadores de ameaças a impressão de que descobriram provas definitivas, desviando-os do caminho para uma atribuição mais precisa.
“Pelo que sabemos, as evidências que encontramos não eram utilizadas antes na atribuição. Mesmo assim, os invasores decidiram usá-las, prevendo que alguém as descobriria. Eles contaram com o fato de que é muito difícil comprovar a falsificação desse artefato. É como se um criminoso tivesse roubado o DNA de alguém para deixar na cena do crime. Nós descobrimos e provamos que o DNA encontrado foi plantado na cena do crime propositalmente. Tudo isso mostra quanto os invasores estão dispostos a investir para não serem identificados pelo máximo de tempo possível. Sempre dissemos que a atribuição no ciberespaço é muito difícil, pois muitas coisas podem ser falsificadas, e o Olympic Destroyer é um exemplo muito preciso disso”, disse Vitaly Kamluk, chefe da equipe de pesquisa da Kaspersky Lab na APAC.
“Outro aprendizado dessa história para nós é que a atribuição deve ser levada muito a sério. Considerando o nível de politização do ciberespaço nos últimos tempos, uma atribuição incorreta poderia ter consequências graves, e os agentes poderiam tentar manipular a opinião da comunidade de segurança a fim de influenciar a pauta geopolítica”, concluiu.
A atribuição precisa do Olympic Destroyer ainda está em aberto, simplesmente porque trata-se de um exemplo único da implementação de “false flags” de forma muito sofisticada. No entanto, os pesquisadores da Kaspersky Lab descobriram que os invasores usaram o serviço de proteção VPN NordVPN e um provedor de hospedagem chamado MonoVM em suas ações. Ambos aceitam pagamento em bitcoins. Essas e outras TTPs já foram vistas sendo usadas pelo Sofacy, o agente de ameaça persistente que usa o idioma russo.
Os produtos da Kaspersky Lab detectam e bloqueiam o malware Olympic Destroyer.
Leia mais sobre a investigação dos ataques do Olympic Destroyer na Coreia do Sul e na Europa pelos pesquisadores da Kaspersky Lab na postagem do blog em Securelist.com.
Nenhum comentário:
Postar um comentário