Video Screencast Help
Security Response

Projeto Elderwood

Created: 10 Sep 2012 16:15:51 GMT • Translations available: English, 日本語, Español
Symantec Security Response's picture
0 0 Votes
Login to vote

Em 2009, registramos o início de ataques de perfil bastante avançado sendo realizados por um grupo usando o Cavalo de Tróia Hydraq (Aurora). Temos monitorado as atividades do grupo responsável pelos ataques nos últimos três anos, pois eles têm mirado diversos setores de forma consistente. Esses invasores usaram um grande número de ‘exploits’ - ou explorações - Zero Day não só contra a organização que era o alvo pretendido, mas também  entre os fabricantes da cadeia de suprimentos que atendem à empresa que estava na mira dos criminosos.

Esses invasores são sistemáticos e reutilizam componentes de uma infraestrutura que chamamos de “Plataforma Elderwood”. O termo “Elderwood” vem da comunicação adotada em alguns dos ataques. Essa plataforma de ataque permite que eles utilizem os exploits Zero Day rapidamente. A metodologia de ataque sempre usou e-mails de spear phishing, versões de pishing altamente direcionadas. Mas agora temos acompanhado uma adoção cada vez maior de ataques ‘watering hole’ (poço d'água, em português), que comprometem determinados sites com probabilidade de serem visitados pela organização alvo.

Chamamos a campanha geral empreendida por este grupo de “Projeto Elderwood”.

Vulnerabilidades de Zero Day graves, que são exploradas em campo e afetam um software amplamente usado são relativamente raras. Houve aproximadamente oito ocorrências em 2011. Nos últimos meses, porém, identificamos quatro dessas vulnerabilidades Zero Day sendo utilizadas pelos invasores Elderwood. Embora haja outros invasores utilizando exploits Zero Day (por exemplo, ataques Sykipot ou Nitro), não vimos nenhum outro grupo usar tantas como no caso do Elderwood. O número de exploits Zero Day indica acesso a um alto nível de capacitação técnica. Aqui estão alguns exploits ou explorações mais recentes utilizadas por eles:

É provável que os invasores tenham obtido acesso ao código-fonte de alguns aplicativos amplamente usados ou tenham feito engenharia reversa dos aplicativos compilados para descobrir essas vulnerabilidades. Aparentemente, o grupo tem um suprimento ilimitado de vulnerabilidades Zero Day. As vulnerabilidades são usadas conforme a necessidade, muitas vezes seguidas umas das outras, se a exposição da vulnerabilidade usada no momento for iminente.

Os alvos principais identificados estão dentro da cadeia de suprimentos do setor de defesa, a maior parte das quais não são organizações de defesa de alto nível em si. Trata-se de empresas fabricantes de componentes eletrônicos ou mecânicos, que são comercializados para empresas de defesa de alto nível. Os invasores fazem isso esperando posturas de segurança mais fracas nessas organizações, podendo usar esses fabricantes como degrau para acessar as empresas de defesa de alto nível; ou conseguir propriedade intelectual usada na produção de peças que compõem produtos fabricados pela empresa de defesa de alto nível. A figura abaixo mostra um segmento dos vários setores que fazem parte da cadeia de suprimentos de defesa.

Setores alvo

Um dos vetores de infecção nos quais estamos observando um aumento substancial, chamado de ataque ‘watering hole’ (poço d'água, em português), representa uma mudança nítida no modus operandi do grupo invasor. O conceito do ataque é semelhante ao de um predador à espreita em um poço d'água no deserto. O predador sabe que as vítimas vão acabar vindo beber água no poço. Então, em vez de sair à caça, ele espera as vítimas virem até ele. Da mesma forma, os invasores encontram um site voltado a um determinado público, que inclui o alvo de interesse principal. Após identificar esse site, eles o invadem usando diversos meios. Depois, ‘injetam’ um exploit nas páginas públicas do site que esperam que sejam visitadas pelo alvo principal. Qualquer visitante suscetível à exploração será infectado, e um Cavalo de Tróia de backdoor será instalado em seu computador. Três exploits, ou explorações Zero Day - CVE-2012-0779, CVE-2012- 1875 e CVE-2012-1889 - foram usados em um período de 30 dias para distribuir Cavalos de Tróia com backdoor provenientes de sites infectados. O aumento no uso dessa técnica de ataque exige que os invasores examinem uma quantidade muito maior de informações roubadas do que um ataque direcionado baseado em e-mail, já que o número de vítimas infectadas por um ‘ataque de injeção’ na Web será muito maior.

Processo de ‘ataque de injeção’ na Web usado em ataques watering hole

 

Todos os fabricantes que fazem parte da cadeia de suprimentos de defesa devem ficar atentos para ataques provenientes de subsidiárias, parceiros de negócios e empresas associadas, pois eles podem ter sido infectados e ser usados como degrau para que o verdadeiro objetivo seja alcançado. Empresas e indivíduos devem se preparar para uma nova rodada de ataques em 2013. Esse é particularmente o caso para empresas que foram infectadas no passado e conseguiram se livrar dos invasores. O conhecimento que os invasores obtiveram em sua infecção anterior os ajudará em ataques futuros.

Esta pesquisa detalha as ligações entre os vários exploits (explorações) usados por esse grupo de ataque, seu método para mirar as organizações e a Plataforma Elderwood. Ela coloca em perspectiva a evolução contínua e a resiliência bruta das entidades que estão por trás dos ataques direcionados.