Em julho de 2015, a empresa italiana conhecida como The Hacking Team foi hackeada. Mais de 400 GB de dados foram exfiltrados e publicados em domínio público. E-mails, documentos de projetos, contratos jurídicos, faturas e similares foram todos publicados.
Na semana passada um hacker anônimo publicou um guia intitulado "Hack Back – Um Guia de DIV". Em seu documento, o autor parece reivindicar a responsabilidade pelo ataque de 2015. Ele documenta sua motivação e, em seguida, oferece conselhos a outros indivíduos com mentalidade semelhante. O que isto nos oferece é uma visão sobre a cronologia do ataque e com ela algumas lições práticas para diminuir a probabilidade e o impacto de ataques semelhantes no futuro.
Escolhendo uma série de pontos mais importantes através do relatório, destacam-se:
Defesa em profundidade – O ataque foi dirigido e com intenção de invadir até o fundo. Este tipo de ameaça deve se enfrentar se perguntando "quando?" e não simplesmente "se?". Uma vez dentro da rede da empresa, o hacker conseguiu atravessar a infraestrutura sem muita dificuldade. Proteger os mecanismos internos sensíveis de uma infraestrutura organizacional é igualmente importante. Reduzir os serviços dentro de uma rede corporativa é essencial para reduzir aqueles que estão expostos ao mundo exterior.
Monitorar e avaliar – Logs de Firewalls podem dar aviso antecipado nesses tipos de ataque. Mapeamento da rede, escaneamento de portas e enumeração podem muito bem ser combatidos pelo firewall e dispositivos de prevenção contra intrusão (IPS – Intrusion Prevention Devices), mas não monitorar e avaliar os dados que eles produzem é perder os Indicadores e Avisos (I&Ws) que podem sinalizar algo provável de acontecer.
Atualizações e patches – Não há nenhuma surpresa de que as atualizações e patches são essenciais. O atacante foi capaz de explorar uma vulnerabilidade conhecida dentro do sistema Nagios de gerenciamento da rede. Curiosamente, o atacante tornou-se ciente do sistema Nagios somente depois que "espionou" os administradores de sistemas..
Separe as redes, mas as conheça bem! – Este ataque foi possível porque as redes de backup e gerenciamento que deveriam ter sido separadas, mas não foram. Separação de redes operacionais e de gestão é uma técnica útil para a proteção da infraestrutura, especialmente quando a rede de gerenciamento requer privilégios administrativos. Neste ataque, o adversário foi capaz de interrogar e despejar as imagens de backup do servidor de e-mails.
Vigie e proteja os privilegiados – Costumamos dizer que um dos maiores desafios está em monitorar aqueles com contas privilegiadas. Muitas organizações, especialmente aquelas relacionadas com o governo, requerem autorizações de segurança para proteção das "ameaças internas". No entanto, o que este incidente nos ensina é que, uma vez dentro, os bandidos fazem uma bee-line (linha de atalho) com os administradores de sistemas para monitorar suas atividades a fim de obter maior conhecimento e entendimento da companhia e a sua infraestrutura. Há um pouco de uma mudança de mentalidade aqui: nós não deveríamos estar monitorando os usuários privilegiados e as suas estações de trabalho? Não por falta de confiança, mas para a própria proteção deles e também como garantia de que não estejam sendo observados por sniffers (farejadores) de redes, keyloggers e similares?
Monitoramento egresso – Uma observação final é que uma grande quantidade de dados foi exfiltrada. Por que isso não foi notado? Isto não é incomum em ataques em que a propriedade intelectual é o alvo. Implantar uma solução contra roubo de dados ou de Prevenção de Perda de Dados (DTP / DLP) e monitoramento contínuo irão diminuir a probabilidade e impacto potencial deste tipo de ataque.
Andy Settle, chefe de Investigações Especiais da Forcepoint.
