Ataque que compromete servidores Linux é detectado após quase 10 anos de atividade
Pesquisa publicada pela BlackBerry Cylance mostra como, nos últimos anos, grupos de ameaça persistente avançada podem ter espionado dados empresariais
A companhia de cibersegurança BlackBerry Cylance divulglou nesta terça-feira (7) pesquisa apresentando um conjunto de ataques com quase dez aos de atividade, capaz de invadir servidores Linux, sistemas Windows e dispositivos móveis à título de espionagem.
Chamado, Década dos RATs: ataques de espionagem de plataforma cruzada visando Linux, Windows e Android, o relatório subdivide esse grande ataque em cinco grupos, afirmando que toda a estrutura opera “no interesse do governo chinês”.
A escolha por servidores Linux é clara: presente em 75% de todos os servidores da Web, 98% dos supercomputadores do mundo e 75% dos principais provedores de serviços em nuvem, o sistema operacional se diferencia por operar de forma aberta, permitindo modificações que não seriam simples ou possíveis em uma máquina com Windows.
“O Linux normalmente não é voltado para o usuário, e a maioria das empresas de segurança concentra sua atenção de engenharia e marketing em produtos projetados para o escritório central, em vez do rack de servidor, de modo que a cobertura do Linux é escassa”, diz Eric Cornelius, arquiteto-chefe de produto da BlackBerry.
“Esses grupos da APT se concentraram nessa lacuna de segurança e a aproveitaram por anos, pela sua vantagem estratégica de roubar propriedade intelectual de setores-alvo sem que ninguém percebesse”, completa.
O relatório da BlackBerry Cylance (que pode ser acessado nesse link, em inglês) examina como os APTs aproveitaram a natureza “sempre ativa, sempre disponível” dos servidores Linux para estabelecer um “ponto de partida para as operações” em uma grande variedade de destinos.
Outras descobertas importantes no relatório incluem:
-
os grupos de APT examinados no relatório provavelmente são compostos por contratados civis que trabalham no interesse do governo chinês e compartilham prontamente ferramentas, técnicas, infraestrutura e informações de direcionamento entre si e com seus pares do governo;
-
os grupos de APT tradicionalmente buscam objetivos diferentes e concentram-se em uma ampla gama de metas; foi observado, no entanto, que existe um grau significativo de coordenação entre esses grupos, principalmente no que diz respeito ao direcionamento de plataformas Linux;
-
a pesquisa identifica dois novos exemplos de malware para Android, continuando uma tendência observada em um relatório anterior de pesquisadores da BlackBerry Cylance, intitulado “Mobile Malware e APT Espionage: Prolific, Pervasive e Cross-Platform”, que examinou como os grupos APT têm aproveitado o malware móvel em combinação com malware de desktop tradicional em campanhas de vigilância e espionagem em várias plataformas;
-
uma das amostras de malware do Android se parece muito com o código em uma ferramenta de teste de penetração disponível comercialmente; todavia o malware foi criado quase dois anos antes da ferramenta comercial ser disponibilizada para compra;
-
o relatório examina várias novas variantes de malware conhecido que os defensores da rede estão recebendo por meio de certificados de assinatura de código de uso de adware – uma tática por meio da qual os atacantes esperam aumentar as taxas de infecção, já que as notificações do AV são descartadas como apenas mais um ponto em um fluxo constante de alertas de adware;
-
a pesquisa também destaca uma mudança dos invasores em relação ao uso de provedores de serviços em nuvem para comunicações de comando e controle (C2) e de extração de dados que parecem ser tráfego de rede confiável.
“Esta pesquisa mostra o cenário de um esforço de espionagem direcionado à espinha dorsal da infraestrutura de rede de grandes organizações que é mais sistêmica do que se acreditava anteriormente”, diz John McClurg, diretor de segurança da informação (CISO) da BlackBerry.
Via: Computer World