Os ataques realizados no dia 20 de março na Coreia do Sul podem trazer alguns aprendizados importantes sobre segurança e proteção para as empresas. Saltam aos olhos três questões que devem ser analisadas mais de perto, como:
1. Ataques Pós-PC não são apenas sobre dispositivos;
2. A atualização automática de infraestrutura é um alvo viável;
3. Produtos de segurança e infraestrutura também são alvos.
Há um tema que tange todas estas lições: quando se fala sobre ataques direcionados não significa apenas o destinatário para o qual o e-mail de spearphishing é enviado para iniciar os ataques. Ataques direcionados também o são no sentido de entender a infraestrutura de uma potencial vítima cuidadosamente selecionada, com o objetivo de analisar e comprometer aquela infraestrutura específica, o máximo possível. Mais importante ainda é que isto se aplica às proteções e controles de segurança instalados.
Ataques Pós-PC não são apenas sobre dispositivos. Uma coisa que se destaca é a presença de um código que ataca visando sistemas operacionais Unix e Linux. Temos visto criminosos começando a voltar sua atenção para o Mac OS X no último ano, logo, os ataques de malware contra sistemas operacionais diferentes do Windows não são inerentemente novos. No entanto, o Unix e o Linux têm sido alvos, com mais frequência, de ataques de hackers ativos do que de malware, de modo que representa uma nova tendência ao trazer esses sistemas operacionais à mira dos ataques pós-PC.
A maioria das organizações tende a usar versões do Unix para sistemas de alto valor, por isso incluí-los neste código de ataque parece indicar uma segmentação ativa de que esses tipos de sistemas são alvos. O Linux tende a ser usado para infraestrutura e como uma commodity em termos de sistema operacional, então também é possível perceber que isto está sendo usado para selecionar os alvos com base em sistema operacional.
A principal lição quando se olha para ataques direcionados, é que agora é preciso ver todas as plataformas e dispositivos como alvos viáveis. Faz sentido estender as práticas de segurança de terminais para todas as plataformas e dispositivos, o máximo possível, e implementar outras camadas de proteção para resguardar plataformas e dispositivos que não podem ser protegidos por segurança de terminais (como o iOS).
A atualização automática de infraestrutura é um alvo viável. Os criminosos podem ter comprometido credenciais de gerenciamento de sistemas e patches das vítimas e usado para distribuir seu malware. Este é o segundo grande ataque alvejado que comprometeu um autoupdate ou patch de gestão de infraestrutura e o transformou em um sistema de distribuição de malware: o ataque Flame em maio passado representou uma grande escalada de metodologias de ataque por comprometer o cliente do Windows Update para fazer a entrega do malware.
Em vista do ataque Flame e agora este novo ataque, fica claro que os criminosos não só querem comprometer os mecanismos de atualização automática, mas que podem fazê-lo. Isto não significa dizer que as atualizações automáticas devem ser vistas como certamente pouco confiáveis, mas que já não podem ser vistas como à prova de falhas. Enquanto o Flame foi o resultado de um trabalho muito sofisticado, os ataques da Coreia do Sul contaram com antiquados comprometimentos de credenciais. Enquanto há pouco que possa ser feito para se proteger contra o tipo de ataque usado no Flame, é possível tomar medidas para garantir uma melhor segurança na infraestrutura de gerenciamento e atualização de patches, sob controle. De um ponto de vista de gestão de risco, deve-se avaliar esses ativos como críticos, como alvos de alto valor e abordando os riscos de forma adequada.
Produtos de segurança e infraestrutura também são alvos. Este ponto nasce do anterior e é uma lição mais ampla. O malware MBR wiper foi dirigido especificamente para os processos de dois ou três produtos de suítes de segurança coreanos. Alvejar produtos de segurança em si não é uma coisa nova: o Conficker/DOWNAD, entre outros, já fizeram isso no passado. Mas o que é mais interessante aqui é que as ações estão limitadas a alvejar apenas dois ou três produtos, em vez de um grande número, como fez o DOWNAD.
Isso mostra a consciência das proteções de segurança em vigor nos alvos pretendidos. Quando combinados com o fato de que o comprometimento do sistema de gerenciamento de patches também foi focado em um único fornecedor, podemos concluir que os criminosos fizeram sua lição de casa e reuniram informações sobre suas vítimas destinadas com relação à segurança e infraestrutura.
Na linha do ajuste da avaliação de risco da infraestrutura de gerenciamento de patches, a lição é que em um ataque direcionado a segurança da empresa e produtos de infraestrutura podem ser alvos viáveis. Como tal, é preciso mitigar esse risco em conformidade, com camadas adicionais de proteção, especialmente camadas que suportam capacidades de detecção heurística.
Para finalizar, duas coisas se destacaram nos ataques MBRwiper: quão destrutivos foram e como claramente focaram em alvos de alto valor. Ataques em grande escala como estes são raros: o exemplo mais recente que está próximo a isso é o WittyWorm de 2004 que alvejava sistemas que executavam o Black Ice e rendia os sistemas inoperantes. Estes ataques definitivamente destacam algumas novas e emergentes tendências preocupantes em termos de ataques. O melhor a fazer é entender o que significam essas tendências e tomar providências agora para melhor se proteger contra eles. Se há uma coisa certa, é que as táticas de sucesso são adicionadas à gama de ferramentas coletiva dos criminosos e reutilizadas em outros ataques.
Leonardo Bonomi é diretor de Suporte e Serviços na Trend Micro
