Grupos de hackers patrocinados pelo estado usam cada vez mais nuvem e infraestrutura de código aberto
A Microsoft fecha as instâncias do Azure Active Directory usadas por invasores para evitar a detecção e avisa que o uso de ferramentas de código aberto por grupos de espionagem está crescendo.
Os grupos de espionagem usam cada vez mais serviços baseados em nuvem e ferramentas de código aberto para criar sua infraestrutura de coleta de dados e ciberataques, tentando esconder suas atividades na enorme quantidade de serviços e recursos usados por organizações legítimas.
Na semana passada, a Microsoft suspendeu 18 “aplicativos” do Azure Active Directory que a empresa identificou como um componente do canal de comando e controle de um grupo de espionagem chinês. Chamado de GADOLINIUM pela Microsoft, o grupo de ataque cibernético adotou uma combinação de infraestrutura em nuvem, que pode ser rapidamente reconstituída no caso de uma queda, e ferramentas de código aberto, que podem ajudar as ações dos invasores a se misturarem a atividades mais legítimas.
O grupo não é o único grupo patrocinado pelo estado a empregar cada vez mais infraestrutura em nuvem e ferramentas de código aberto, de acordo com o Microsoft Threat Intelligence Center (MSTIC).
“O MSTIC notou uma tendência lenta de vários grupos de atividades de estado-nação migrando para ferramentas de código aberto nos últimos anos … uma tentativa de tornar a descoberta e atribuição mais difícil”, declarou a Microsoft em um blog. “O outro benefício adicional de usar tipos de kits de código aberto é que o desenvolvimento e a criação de novos recursos são feitos e criados por outra pessoa sem nenhum custo.”
GADOLINIUM – também conhecido como APT40, Kryptonite Panda e Leviathan – tem como foco o roubo de informações marítimas e pesquisas associadas de universidades para promover a expansão de sua marinha na China, de acordo com uma análise da firma de serviços de segurança cibernética FireEye. Enquanto o grupo de espionagem brinca com infraestrutura em nuvem desde 2016, o uso de ferramentas de código aberto só aconteceu nos últimos dois anos, disse a Microsoft em sua própria análise .
Ao usar ferramentas e serviços de commodities, os invasores não apenas se misturam à atividade legítima de forma mais completa, mas também se tornam mais difíceis de identificar como um grupo específico, diz Dennis Wilson, diretor global da SpiderLabs da Trustwave, uma empresa de serviços de segurança.
“Um invasor sofisticado se torna muito mais difícil de identificar quando usa ferramentas de código aberto e ativos de nuvem disponíveis para realizar seus ataques”, diz ele, acrescentando que “se 20 ou 30 grupos diferentes estiverem usando o mesmo malware e as mesmas técnicas, isso torna-se muito mais difícil diferenciá-los por suas ferramentas e táticas. “
GADOLINIUM não é o único grupo de espionagem a usar ferramentas comuns para tentar escapar da detecção. Várias empresas de segurança notaram que os invasores estão cada vez mais “vivendo da terra”, usando ferramentas administrativas já instaladas nos sistemas direcionados como forma de ocultar suas atividades. Por exemplo, outro grupo de ciberataque chinês – conhecido como APT41, Wicked Panda, Barium ou Axiom – usou ferramentas amplamente disponíveis, como o Microsoft BITSAdmin e a estrutura Metasploit, para atacar uma ampla seção transversal de países e setores, atingindo alvos em Austrália, Canadá, Itália, Japão, Filipinas, Qatar e Suécia, para citar alguns.
No início deste mês, o Departamento de Justiça dos EUA acusou cinco cidadãos chineses e dois cidadãos malaios como parte de uma investigação sobre o APT41, alegando que trabalharam juntos em intrusões em mais de 100 empresas americanas.
“O Departamento de Justiça usou todas as ferramentas disponíveis para interromper as invasões ilegais de computadores e os ataques cibernéticos por esses cidadãos chineses”, disse o procurador-geral adjunto Jeffrey A. Rosen, em um comunicado anunciando as prisões. “Lamentavelmente, o partido comunista chinês escolheu um caminho diferente para tornar a China segura para os cibercriminosos, desde que eles ataquem computadores fora da China e roubem propriedade intelectual útil para a China.”
No incidente de ataque que a Microsoft descreveu em sua análise, o GADOLINIUM usou uma variante do PowerShell, conhecida como PowerShell Empire, para se conectar ao Azure Active Directory e ao armazenamento OneDrive da Microsoft. Os sistemas automatizados têm dificuldade em detectar esses ataques, pois a variante do PowerShell e o fato de estar se conectando a um serviço de nuvem conhecido geralmente não são considerados atividades suspeitas, afirmou a Microsoft em sua análise.
“O uso deste módulo PowerShell Empire é particularmente desafiador para o monitoramento tradicional do SOC identificar”, declarou o MSTIC em sua postagem no blog. “De uma perspectiva de terminal ou monitoramento de rede, a atividade inicialmente parece estar relacionada a aplicativos confiáveis usando APIs de serviço de nuvem confiáveis.”
Outra vantagem de basear a infraestrutura de ataque cibernético na nuvem é porque um número cada vez maior de empresas e organizações visadas também têm ativos na nuvem. Usar a mesma infraestrutura do destino pode tornar a exploração mais fácil, diz Wilson da Trustwave.
“Se você encontrar uma tática que funcione contra o Microsoft Azure, por exemplo, eles podem aplicar essa mesma tática ou técnica a qualquer organização que use a mesma tecnologia”, diz ele. “No passado, uma empresa pode ter tido este fornecedor para um firewall e este fornecedor para uma solução [detecção e resposta de endpoint], mas agora você tem muitas empresas usando a mesma infraestrutura de nuvem, então agora ela se torna uma solução simples abordagem para os invasores explorarem empresas em toda essa infraestrutura. “
