Grupo de pesquisadores da Trend Micro conclui que malware disseminado na Coreia do Sul não é um ataque direcionado, mas um exercício cibernético. Quando foi revelado em 2016, declarou-se que o OnionDog estaria por trás dos ataques às empresas de energia e transporte daquele país, e que foi visto na ativa – pela primeira vez – em 2013. A Trend Micro tomou conhecimento de aproximadamente 200 amostras únicas dos programas suspeitos utilizados no OnionDog, que à primeira vista, aparenta ser fruto de um pequeno, mas ainda assim significante, grupo agente de ameaça.
Um relatório da Equipe Helios do Qihoo 360 traz uma análise mais detalhada do OnionDog, em relatório que inclui indicadores de comprometimento (IoCs) tais como hashes de arquivos maliciosos com oito endereços de IP de comando e controle (C&C) específicos. Os endereços de IP são na verdade endereços de callback para computadores infectados pelo malware. Sua finalidade não parece maliciosa, mas meramente para gravar quais alvos foram vítimas de um teste de cibersegurança.
Ao consultar as resoluções de domínio no histórico destes oito endereços de IP, a Trend Micro descobriu dois pares de endereços IP com a mesma resposta HTTP em julho e agosto de 2014. Essas respostas foram únicas em varreduras HTTP históricas pela Rapid7.
O domínio nsc.go.kr pertence ao Centro Nacional de Cibersegurança (NCSC) da Coreia do Sul, indicando que os cinco endereços IP na tabela pertenciam ao órgão. Dois outros endereços de IP C&C mencionados no relatório tinham impressões digitais quase únicas com base em sua resposta a solicitações de HTTP básicas.
Isto levou a Trend Micro a crer que estes endereços também eram controlados pelo NCSC da Coreia do Sul em 2014. Assim, sete dos oito IPs listados no relatório estavam obviamente ligados ao NCSC em algum momento no passado. Apenas este fato já leva a Trend Micro a pensar que as amostras do OnionDog estavam relacionadas a ciberpráticas oficiais.
Segundo a empresa, apesar de o malware utilizado no OnionDog não fazer nenhum mal real para os sistemas, ele usa truques de malware real e não está claro por que eles são necessários para uma ciberprática.
O perigo da ciberprática
Baseado nos dados coletados pela Trend, as amostras de malware referidas como OnionDog fazem parte de uma ciberprática que é conduzida todo ano. As proteções colocadas em prática para limitar que o malware faça qualquer coisa fora do tempo determinado pela prática dos "exercícios". Enquanto o malware não executa nada realmente criminoso, algumas das amostras mais novas parecem testes de intrusão invasivos nos sistemas – e que utilizam vários truques. Há o risco de usar o malware real durante as práticas de segurança.
Além disso, a Trend Micro encontrou 200 amostras únicas do OnionDog soltas na rede que demonstram que ferramentas e metodologias específicas usadas na prática estão em domínio público e podem ser também pesquisadas por agentes mal-intencionados. É possível que estes agentes possam obter parte do comportamento e simulá-lo, fazendo com que o departamento de Respostas aos Incidentes pense que estão respondendo à prática e tomem menos cuidado ao fazer isso.
Os perigos e riscos de usar um malware vivo, ou até mesmo o malware simulado, está na capacidade de contê-lo. Em pequenos exercícios, por exemplo, se a pessoa responsável pelo malware estiver ausente naquele dia por qualquer motivo – não há nada que ajude a contê-lo se as coisas saírem de controle.