Como uma campanha de engenharia social enganou pesquisadores de segurança de informática
As táticas de phishing em ataques de engenharia social tornaram-se tão elaboradas que até mesmo alguns membros muito conscientes da comunidade de segurança cibernética podem ser vítimas delas.
A engenharia social explora o aspecto da segurança que não pode ser protegida por métodos padrão: a natureza humana. E alguns ataques são tão bem planejados que enganam até os investigadores de segurança.
Em um post em seu blog, o Grupo de Análise de Ameaças do Google detalhou uma campanha de engenharia social patrocinada por um estado- nação que é dirigida contra a comunidade de segurança da informação. A campanha, que o Google atribui a uma entidade apoiada pelo governo com sede na Coréia do Norte, demorou vários meses para estabelecer conexões pessoais com suas vítimas, fazendo-se passar por profissionais da segurança da informação que trabalham para uma empresa fictícia conhecida no Twitter como @BrownSec3Labs.
Segundo o blog, os atores das ameaças atacaram os investigadores de segurança com um "novo método de engenharia social", conseguido com a publicação de um blog de pesquisas falso, a construção de uma presença no Twitter e a criação de perfis aparentemente legítimos em redes sociais e plataformas de comunicação para se conectar com pesquisadores de segurança, trabalhando em pesquisa e desenvolvimento de vulnerabilidades em diferentes empresas e organizações.
" Depois de estabelecer as comunicações iniciais, os atores perguntavam ao pesquisador alvo, se queria colaborar em conjunto na pesquisa de vulnerabilidades, e, em seguida, forneciam ao pesquisador um projeto de Visual Studio. Dentro do projeto de Visual Studio havia código fonte para explorar a vulnerabilidade, assim como uma DLL adicional executável através do Visual Studio Bild Eventos. A DLL era um malware projetado para começar a se comunicar imediatamente com domínios C2 controlado pelos atores," diz o blog.
Além disso, o ataque comprometeu os pesquisadores que visitaram o blog dos atores.
" Em cada um destes casos, os pesquisadores seguiram um link no Twitter para um artigo hospedado no blog e, pouco depois, foi instalado um serviço malicioso no sistema do pesquisador e um backdoor na memória começou a enviar sinais a um servidor comandado e controlado de propriedade do ator. No momento dessas visitas, os sistemas das vítimas estavam rodando versões do navegador Windows 10 e Chrome completamente revisadas e atualizadas, " diz o blog do Google. “O blog continha resenhas e análises de vulnerabilidades que foram divulgadas publicamente, incluindo publicações de ' convidados ' que pareciam ser investigadores de segurança legítimos involuntários, provavelmente em uma tentativa de gerar ainda mais credibilidade com outros pesquisadores de segurança”.
Segundo o blog, trata-se de uma "campanha em andamento". Richard Johnson, especialista em segurança informática na Fuzzing IO com foco na análise de vulnerabilidades em software, confirmou a validade do ataque.
"AVISO! Posso confirmar que é verdade e fui atingido por @ z0x55g que me enviou um gatilho de PoC da kernel do Windows. A vulnerabilidade era real e complexa de disparar. Felizmente só executei em uma VM ... no final, o VMDK usado esr era muito corrupto e não poderia começar, por isso ele fez uma auto implosão”, ele escreveu no Twitter @richinseattle.
Johnson forneceu uma atualização positiva no dia seguinte.
"Recuperei e descriptografei as chaves de registro que contém o config e neutralizei o serviço, estou RE'ing o controlador. Confirmei com colegas que só visitar o blog foi o suficiente para ser explorado através de Chrome/Brave. Confirmei que minha máquina se conectou em seu C&C muitas vezes", escreveu ele no Twitter.
Como os atores de ameaças patrocinados pelo estado conseguiram enganar algumas pessoas mais preparadas e mais desconfiadas do planeta?
A persistência é fundamental
O que fez com que essa campanha tivesse sucesso, segundo a diretora executiva da SocialProof Security, Rachel Tobac, é que o escritório de engenharia e a construção de relacionamentos começaram muito cedo, muito antes do observado em tantas outras campanhas.
“Muitas vezes você verá os invasores irem diretamente até a isca, diretamente via malware em seu típico ataque de phishing. Não foi isso que aconteceu aqui. Em meados do ano de 2020, os invasores começaram a construir um bom relacionamento, construindo uma reputação junto a seu alvo, a comunidade de segurança em geral, e obter essa confiança era algo que você podia ver que era muito importante para eles. "
Tobac disse ao SearchSecurity que estes atores do Estado-nação usavam o que no campo da engenharia social é chamado de princípios de persuasão.
"A primeira coisa que vimos foi que se aproveitaram de sua autoridade. Eles criaram autoridade sobre o assunto para ser capaz de direcionar as pessoas para o seu blog malicioso. Começaram com conteúdo real e autêntico e, em seguida, passaram ao ataque. Em segundo lugar, os vimos usando reciprocidade, que é onde se discute detalhes pessoais sobre si mesmos para obter detalhes pessoais sobre seu alvo”, disse ele. "Então vimos a prova social em ação em que eles mencionaram as pessoas adequadas no blog e utilizaram seu blog como arma, o que provavelmente fizeram o tempo todo. A comunidade de segurança confiou no conteúdo porque parecia real e não deviam verificar se estavam comprometidos."
A quarta tática que Tobac observou foi o compromisso e a consistência. "Se trata de fazer perguntas aparentemente inócuas para realmente construir um bom relacionamento, de modo que quando você chegar às perguntas assustadoras se sinta bem, um pouco de confiança como ' já venho falando com esta pessoa por um longo tempo".
Um exemplo que Tobac deu foi perguntar a um pesquisador se está usando Chrome.
"Se essa pessoa diz 'sim’, então, claro, a isca e malware que irão usar é um dia zero de Chrome com esse objetivo. Portanto, personalizar a sua abordagem em função do sistema operacional que o pesquisador está estudando, o campo de pesquisa para garantir que o malware funcione em sua máquina é extremamente inteligente."
Em geral, os ataques patrocinados pelo estado tendem a ser mais intensos. Uma coisa faz com que sua metodologia de ataque seja única: a persistência.
"Eles realmente confraternizaram e ganharam confiança da comunidade de segurança e comunidade de pesquisadores. Eles tinham 2.000 seguidores em todas as contas de Twitter. Postaram sobre seu próprio trabalho entre as contas de Twitter. Estes tweets geraram centenas de likes e retuítes antes mesmo dos invasores passarem a enviar mensagens diretas para as pessoas. Eles têm a reputação de falar sobre pesquisas e publicar boas pesquisas."
Reed Loden, evangelista chefe de segurança de código aberto da HackerOne, disse ao SearchSecurity que a plataforma de recompensas de erros (bug bounty) nunca tinha visto antes pesquisadores de segurança sendo o alvo específico de atores do estado com este nível de detalhe e persistência. No entanto, ele disse, não surpreende.
“Muitos membros das equipes de segurança têm acesso privilegiado devido à necessidade de investigar possíveis problemas de segurança em todos os níveis, por isso na verdade são alvos excelentes para atores governamentais”, diz Loden em e-mail ao SearchSecurity.
Somado a isso, as redes sociais fornecem uma grande quantidade de informações que facilita os atores de ameaças levar a cabo ataques de engenharia social.
"Eles têm muito mais sucesso quando estão alinhados com o interesse de um alvo, e toda esta informação pode ser encontrada no Twitter ou Instagram. Outro vetor de ataque vem do que os empregados filtram inadvertidamente, por exemplo, uma foto deles no trabalho no LinkedIn pode dar a um cibercriminoso um guia perfeito sobre como deve ser a aparência de um uniforme e um distintivo”, diz Loden.
De acordo com Tobac, qualquer um que tenha um pretexto apropriado, no momento adequado e com a isca certa pode ser comprometido. "Não podemos tirar sarro de pessoas por ser alvo de engenharia social, porque ela usa quem somos fundamentalmente como humanos. Apenas dizemos que é assim. Os piratas informáticos humanos [vão] piratear humanos".
Esta campanha mais recentemente atraiu um interesse adicional porque ele é um bom exemplo dos atores de ameaças que levam seu tempo, se familiarizam com seus alvos e desenvolvem conexões com eles com paciência, diz Tobac. " Em lugar de construir persistência em uma rede e esperar calmamente na net, realmente estamos vendo persistência no lado de engenharia social no lugar do lado técnico".
Proteção contra hacking humano
Em muitos casos, o treinamento em conscientização sobre segurança prepara as pessoas para o que podem esperar de um ataque de engenharia social. Isso pode funcionar para e-mails de phishing tradicionais e táticas de personificação de identidade menores, mas quando se trata de atores de estado-nação qualificados, não é suficiente.
Tim Sadler, cofundador da empresa de segurança de e-mail Tessian, disse ao SearchSecurity que a formação tradicional de conscientização sobre segurança já não é suficiente.
"Neste ataque, os cibercriminosos usaram táticas sofisticadas de representação de identidade para gerar confiança ao longo do tempo e enganar os pesquisadores para que instalassem código malicioso sem saber, " diz Sadler, em um e-mail para a SearchSecurity . "O treinamento tradicional de conscientização sobre segurança não resolveria isso. Por quê? Porque muitos dos sinais revelando uma farsa, que as pessoas são ensinadas a levar em conta durante as sessões de treinamento, não estavam presentes. O outro problema é que a formação única não tem em mente o fato de que os piratas de computador jogam a longo prazo, usando vários pontos de contato para cercar suas vítimas. Como podem as empresas esperar que seus funcionários se lembrem de um treinamento transmitido há mais de seis meses, por exemplo?"
De acordo com Sadler, a capacitação deve evoluir para ficar em dia com o panorama de ameaças em evolução.
"Deve-se dedicar de forma automática e contínua à sensibilização dos funcionários sobre a ameaça potencial do momento e aconselhando que ações tomar.
O treinamento em conscientização de segurança deve usar as ameaças do mundo real que os funcionários enfrentam para proporcionar contexto. As plataformas de treinamento são baseadas na simulação de ameaças de phishing e utilizam modelos predefinidos de ameaças comuns. Enquanto esta é uma abordagem justa para a consciência de phishing genérico, é ineficiente para preparar os funcionários para ameaças de phishing altamente específicas e os golpes de roubo de identidade que provavelmente vemos hoje. "
Tobac concorda que a solução não é mais capacitação e conscientização sobre segurança, mas mais exemplos de como os atores de estado-nação usam a engenharia social. " Eu diria que todos os pesquisadores de segurança estão muito conscientes da forma que a engenharia social trabalha."
Assim como Johnson na Fuzzing IO, os pesquisadores de segurança podem se proteger mediante o uso de máquinas virtuais que estão isoladas de outros sistemas para acessar recursos ou abrir arquivos de partes que não são confiáveis. Existem outras ferramentas técnicas, incluindo o gerenciamento de senhas e autenticação multifatorial, bem como as melhores práticas básicas, como não reutilizar credenciais em contas e máquinas.
"Sabemos de um pesquisador que se viu comprometido, que mencionou que credita o fato a ele ter usado credenciais semelhantes ou idênticas de uma máquina próxima em sua rede, o que o levou fazer mudanças dentro da rede para outra máquina. Estas são soluções técnicas que você pode usar, mas quando você tem um ator do estado-nação, vão persistir em usar as ferramentas técnicas que você tem, " diz Tobac .
Mas nenhuma das técnicas de defesa impede que as pessoas sejam vítimas de golpe em primeiro lugar, portanto, os ataques da engenharia social são um desafio." Cuidado, principalmente nas máquinas ou contas de usuários com permissões superiores, é importante para todas as pessoas, independentemente de sua profissão”, afirma Loden.
" Mesmo se ele está executando um sistema e navegador totalmente atualizados, os exploits de dia zero podem ser usados para atacá-lo. É melhor ser paranóico e talvez usar uma máquina virtual sem privilégios (ou um Chromebook ou similar) sem acesso especialmente para qualquer tipo de navegação sem pressa, separada de qualquer sistema de trabalho que possa permitir o acesso de um ator mal-intencionado dedicado aos recursos internos em uma empresa”.
Além disso, Loden recomenda o treinamento proativo de funcionários e testes de rotina.
"Depende das equipes de TI e segurança habilitar e capacitar os usuários a entender como ficar seguros e como construir um caminho melhor, mais direto e desejável para eles. Se um trabalhador cai na engenharia social, não o culpe. Olhe no espelho e entenda o que fez com que o empregado se dobrasse e como pode incentivá-lo. Na prática, isto significa fornecer soluções técnicas prontamente utilizáveis para estes pesquisadores para garantir que eles possam proteger-se melhor das campanhas de engenharia social ao segmentar qualquer trabalho de investigação de segurança de outras atividades do dia a dia".
Tobac diz que este ataque foi um alerta vermelho para muitas pessoas. "Em última instância, vamos ver o impacto deste ataque nos próximos anos".