Por que os ciberataques russos usam estruturas modulares para malware VPNFilter e Cyclops Blink

Os APTs desenvolveram habilmente uma estratégia por meio de estruturas modulares, permitindo que eles preservassem suas próprias “jóias da coroa” de malware.

No início deste ano, as agências de inteligência dos EUA e do Reino Unido acusaram o Sandworm, um grupo cibernético afiliado à unidade de inteligência GRU da Rússia, de distribuir malware sofisticado que visa dispositivos de Internet das Coisas. Apelidado de “Cyclops Blink”, o malware substitui uma versão mais antiga chamada “VPNFilter”, que era uma das famílias de malware de maior escala .

Tanto o VPNFilter quanto o Cyclops Blink são estruturas modulares projetadas para uso flexível em uma ampla variedade de alvos, incluindo firewalls e sistemas ciber-físicos. Eles são modulares no sentido de que os agentes mal-intencionados podem expandir os recursos do malware adicionando funcionalidades adicionais após a implantação, como pesquisar informações confidenciais, alterar suas assinaturas ou distribuir novas variantes.

Os detalhes técnicos são interessantes e revelam o empenho do grupo de hackers; seu momento indica até que ponto a Rússia irá realizar operações cibernéticas simultâneas com a invasão da Ucrânia.

O Cyclops Blink parece idêntico em propósito ao VPNFilter – indiscriminadamente abrindo caminho nos dispositivos de rede de firewall da WatchGuard. A estrutura é provavelmente escrita em código multiplataforma, o que significa que pode direcionar prontamente outros dispositivos de rede que executam diferentes sistemas operacionais ou arquiteturas.

Isso é uma preocupação porque, assim como vimos com o VPNFilter em 2018, o malware implantado no equipamento de rede permite que ele se espalhe de forma prolífica. Assim como um vírus bem-sucedido se espalhando durante uma pandemia global, famílias de malware como o Cyclops Blink têm como alvo “superspreaders”. Roteadores, switches, VPNs são alvos atraentes para os adversários , pois carecem de monitoramento básico, o que significa que os defensores perdem a capacidade de ver quando foram comprometidos e fornecem acesso imediato a muitos outros dispositivos dentro de uma rede de destino em virtude de seu papel no roteamento de tráfego . Desconcertantemente, o Cyclops Blink se incorpora ao firmware do dispositivo de rede, ganhando persistência nas reinicializações e até mesmo nas atualizações legítimas de firmware.

Ameaças persistentes avançadas (APTs) e agentes mal-intencionados como Sandworm empregam estruturas modulares com suas ferramentas de ataque de primeira linha por vários motivos:

Os frameworks são mais difíceis de detectar. Ao manter o módulo de persistência principal o mais eficiente e simplificado possível, é muito mais difícil para os defensores escreverem assinaturas e heurísticas contra ele para detectar e bloquear sua disseminação.
Eles melhoram a capacidade dos invasores de incorporar malware furtivamente. Usando estruturas modulares, os APTs podem obter acesso inicial ao seu alvo com um malware de baixo valor chamado loader, cujo único trabalho é manter o acesso e carregar outros módulos de malware. Como um invasor, nem sempre é claro onde o malware chegará (especialmente durante ataques de phishing ou cadeia de suprimentos). Para evitar a perda completa de uma ferramenta de hacking, os APTs exporão apenas os componentes de malware de menor valor, caso cheguem a uma superfície de ataque facilmente detectável. Os APTs querem reduzir o risco de perder módulos caros e de alto valor imediatamente.
Eles diminuem o risco de perda de malware de alto valor. Estruturas modulares permitem que o APT mantenha recursos de alto risco, como escalação de privilégios de dia zero ou explorações de acesso remoto contidas em módulos especiais. Esses módulos só são implantados em alvos quando os invasores precisam deles. Por exemplo, um invasor pode descobrir um computador em uma sala de conferência e desejar instalar um módulo de captura de áudio. O invasor pode enviar o módulo para o computador de destino e a estrutura instalará a nova funcionalidade. Como os módulos são instalados apenas quando são necessários, isso reduz o risco de perder plugins caros e de alto risco contendo as técnicas de ataque de dia zero e desconhecidas.
Eles são eficientes para construir. Os APTs são formados por pessoas talentosas habilidosas na arte de criar malware, mas essas pessoas também são apenas desenvolvedores de software. Essas organizações de desenvolvedores de software trabalham em equipes, e essas equipes se prestam naturalmente a uma estrutura de plug-in. Uma equipe pode trabalhar no módulo principal, outra no acesso, outra no módulo de ataque físico cibernético, aumentando a eficiência no desenvolvimento de estruturas modulares.
Os APTs desenvolveram habilmente uma estratégia por meio de estruturas modulares, permitindo que eles preservassem suas próprias “jóias da coroa” de malware. Eles aplicarão essas técnicas furtivas contra alvos de alto valor, onde as vítimas não podem perder o acesso. A engenharia reversa do malware VPNFilter descobriu que ele foi projetado para obter acesso a redes e procurar tráfego Modbus, um protocolo amplamente usado em sistemas ciberfísicos em infraestrutura crítica, como usinas de energia, manufatura, grandes navios e instalações de tratamento de água. O VPNFilter implantaria um módulo de estrutura específico do Modbus para causar sérios danos aos sistemas de controle industrial ou aproveitar outros módulos para manipular o tráfego, destruir terminais ou criar pontos de pivô para obter acesso a outros sistemas conectados.

Como uma estrutura modular estreitamente modelada no VPNFilter, o Cyclops Blink, sem dúvida, suportará módulos de plug-in para atacar infraestruturas críticas. Sem surpresa, VPNFilter e Cyclops Blink suportam exatamente as mesmas táticas, técnicas e procedimentos associados ao Sandworm. Ver novas estruturas surgirem a partir do GRU é completamente esperado durante um período de conflito geopolítico.

Em meados de 2018, o Departamento de Justiça causou interrupções significativas na família VPNFilter e fez com que o GRU da Rússia reformulasse sua estrutura. Enquanto isso, o Sandworm foi vinculado a apagões na Ucrânia devido ao malware BlackEnergy em 2015 e ao malware Industroyer em 2016, bem como ao ransomware NotPetya em 2017.

É altamente encorajador ver a colaboração internacional para chamar a atenção para o cibercomportamento russo. O fato de o Reino Unido ter se juntado aos EUA na divulgação de informações sobre ameaças sobre o Cyclops Blink é uma prova da aliança de inteligência Five Eyes . O GCHQ do Reino Unido é uma organização de inteligência eminentemente capaz e, sem dúvida, contribuiu de maneira significativa para a coleta de inteligência de ameaças do Cyclops Blink.

 

Fonte: Smart industry

Notícias do setor industrial você encontra aqui no portal da indústria brasileira, Indústria S.A.