No dia 22 de maio deste ano, o U.S. Attorney's Office, que nos Estados Unidos tem a mesma função da Procuradoria Geral da República no Brasil, anunciou o indiciamento de 16 réus sob a acusação de desenvolver e implementar o DanaBot, um dos mais conhecidos malware, responsável por infectar mais de 300 mil computadores e causar ao menos 50 milhões de dólares em perdas desde seu lançamento em 2018.
O grupo, baseado na Rússia, foi alvo da Operação Endgame, uma das mais bem sucedidas ações contra o crime cibernético da história da Internet. Lançada há praticamente um ano e liderada pelo FBI, a polícia federal norte-americana, conta com a colaboração de autoridades de Portugal, Ucrânia, Romênia, Lituânia, Bulgária, Reino Unido, França, Holanda, Alemanha, Suíça e da Europol, organização governamental que coordena o combate ao crime na Europa. Mas o apoio à Endgame vai além dos governos. Uma respeitável lista de 23 empresas e organizações privadas, entre elas a Proofpoint, Microsoft, Crowdstrike, ZScaler e Bitdefender, colaboram de diferentes maneiras com as missões. Assim, não é à toa que em seus doze meses de vida a Endgame vem colecionando uma lista respeitável de ações bem-sucedidas.
O desmantelamento da plataforma e indiciamento de seus criadores e administradores põem fim a uma história que começou em 2018, quando o malware foi pela primeira identificado e nomeado pela Proofpoint. De origem russa, foi criado como uma plataforma de serviços, o chamado malware-as-a-service, para comercialização a quadrilhas de crime cibernético. O sistema estava inicialmente voltado para disseminar cavalos de troia (trojans) e outros programa para ataque a clientes de banco pela web. A infecção se dava principalmente pelo envio por e-mail de arquivos Office contente código malicioso, ou de URLs para download automático.
Tratava-se de um programa sofisticado e com aperfeiçoamento contínuo por seus criadores. Controlado remotamente, permitia a sua atualização e envio de comandos específicos pelos administradores, formando uma rede de máquinas controladas, ou "bot". Toda a comunicação de comando e controle estava criptografada por algoritmo AES ou RSA para evitar interceptação. Mas a sofisticação ia além:os desenvolvedores embutiram uma quantidade significativa de código inútil e loops intermináveis para dificultar a engenharia reversa por pesquisadores e até concorrentes. Também fazia uso de partes criptografadas para impedir o uso de ferramentas automáticas de análise, e para trazer dificuldade extra aos analistas.
O case de sucesso
O sucesso de uma plataforma distribuída de malware muitas vezes reside em sua arquitetura de servidores para comando e controle, sobretudo as que são comercializadas "as-a-service". Os servidores estavam distribuídos em diferentes países e, novamente, os criadores embutiram armadilhas para dificultar a vida dos analistas. Primeiro, as listas de servidores eram continuamente atualizadas no código e, segundo, várias entradas não existiam, se constituindo de prováveis iscas falsas. Diferentes componentes – código principal, plugins e configurações – residiam também em servidores diferentes.
O grupo criminoso operava como uma empresa. Os serviços eram ofertados através de fóruns e uma página de suporte era oferecida aos clientes, assim como uma interface gráfica para administração. Diferentes grupos criminosos usaram a plataforma em várias campanhas de ataque, até que ela caiu em desuso em 2020 para voltar a ser vista com força no final de 2023. Ao longo do tempo, o uso do malware acabou se diversificando, com a inclusão de programas para roubar dados diversos e controlar programas comuns.
O FBI identificou também uma variante que executava código de espionagem e cujo alvo eram militares, diplomatas e funcionários de governos. Para isso, os atacantes personificaram o OSCE (Organização para a Segurança e Cooperação da Europa) e entidades governamentais, e enviaram e-mails às vítimas. O código baixado pelo DanaBot nesses casos tinha como objetivo a obtenção de informações. Para as autoridades norte-americanas, a variante foi patrocinada e usada pela Russia.
A diversificação ocorreu também no método de infecção. Além do envio de mensagens de phishing com URLs, os criminosos falsificaram páginas de empresas legítimas, além de criarem páginas diversas atraindo vítimas a instalar o DanaBot como parte de algum aplicativo específico – seja para recuperar dinheiro "esquecido" ou para detectar vulnerabilidades no computador.
Ainda este mês, o DanaBot estava sendo utilizado em diferentes campanhas, até que toda a infraestrutura foi derrubada e seus desenvolvedores indiciados.
É claro que o software ainda existe, e pode ser recuperado e usado por outras quadrilhas, assim como outras plataformas podem ser criadas, mas a elaboração e manutenção dessas estruturas globais são tarefas complexas, e seu desmantelamento afeta consideravelmente as quadrilhas, que terão que buscar outros provedores e desenvolvedores. Trata-se, portanto, de um trabalho contínuo, e esse talvez tenha sido o maior acerto das autoridades: estruturar uma operação permanente de combate às redes criminosas cibernéticas globais.
As linhas de defesa contra o DanaBot e sistemas similares de malware reside na proteção dos chamados vetores de ataque, neste caso, o correio eletrônico e os navegadores, o primeiro pela detecção e bloqueio de mensagens de phishing que carreguem anexos ou URLs comprometidas, e o segundo por sistemas de web gateway ou browser isolation, além de um agente antimalware instalado nos computadores pessoais. A comunicação de comando e controle pode ser identificado por sistemas de segurança no perímetro de rede, e a movimentação lateral em rede pode ser detectada por sistemas de monitoramento de tráfego. Há uma série de outras tecnologias que ajudam a empresa a se proteger de um ataque desses, seja para impedir o roubo de dados, a instalação de ransomware ou bloquear espionagem, mas a grande diferença está na gestão desses produtos, e na integração, e colaboração entre as diferentes tecnologias.
Marcelo Bezerra, líder em engenharia de cibersegurança da Proofpoint.
Este texto consolida informações publicadas nas páginas do FBI, US Attorney's Office, Operation Endgame, ESET e Proofpoint.
