Ataque Cibernético de “Venda a Preço de Banana” Atinge Toda Indústria em Todo Estado da Ucrânia

Olá! Você pode não me conhecer, mas, para ser breve, vamos apenas mencionar que realizo perícias cibernéticas, investigações e conscientização sobre segurança por profissão há mais de 25 anos. Algumas semanas atrás fui chamado para fazer uma análise forense para um cliente (eles falaram sobre algum mistério em torno de ações e reações estranhas do sistema). Após uma análise mais detalhada com ambas as equipes, eles perceberam infecções que pareciam usar o Active Directory para se espalhar rapidamente pela rede e assumimos que era um ataque direcionado. O que não sabíamos é que a fase 1 do que todos acreditávamos ser uma ficção ou um roteiro legal do filme Duro de Matar 4.0 em 2007 acabou de se tornar real (não dá para inventar essas coisas…). Eles o chamaram de Fire Sale, um ataque cibernético contra um país inteiro (olá guerra híbrida e guerra cibernética) este ataque acabou levando a um colapso de todos os controles computacionais, resultando em um crash econômico e outras consequências ruins (como desativar uma indústria inteira…). Quão real é realizar tal ataque? Bem, um dos líderes da indústria de anti-malware, Eugene Kaspersky pode ter previsto o futuro cerca de 1,5 anos atrás. Mas vamos aos fatos por um momento: era um domingo normal quando um dos analistas de segurança da indústria de mídia me colocou em uma teleconferência com outra empresa da qual faço parte do conselho. Não que me surpreendesse eles estarem trabalhando no meio do domingo (como eu, então não pergunte), mas sim os fatos que eram realmente interessantes e assustadores: toda a indústria de mídia e canais de TV estavam simultaneamente relatando estar sob um ataque cibernético desconhecido que interrompeu as operações do computador e agiu de maneira muito imprevisível. O ataque começou no domingo, 25 de outubro^th, justo quando as eleições em todo o estado estavam acontecendo na Ucrânia (coincidência?). Embora vários grupos hacktivistas tenham tentado assumir a responsabilidade pelo ataque, não há evidências suficientes (conclusivas) para identificá-lo a uma parte específica – deixaremos isso para aqueles “serviços especiais” e políticos resolverem.

Como mencionei, o ataque foi uma infecção encoberta em várias etapas da infraestrutura de uma empresa, atingindo um alvo após o outro, causando reinicializações dos computadores e tornando-os não inicializáveis. Neste estágio, duas coisas pareciam óbvias: estávamos lidando com um ataque cibernético direcionado, talvez com motivos políticos e visando a interrupção de uma indústria inteira. No entanto, a investigação trouxe uma infinidade de detalhes que desafiam a declaração inicial…

Sintomas do ataque e impressão inicial

Enquanto esperamos por alguma verificação dos resultados oficiais com algumas agências de 3 letras com as quais estamos trabalhando, bem como engenheiros de reversão de malware forense e de segurança dedicados e uma divulgação completa será feita por um CERT local, vou compartilhar como as coisas pareciam das linhas de frente.

Os alvos eram várias plataformas Microsoft Windows, sem dependências de versão ou função, incluindo Controladores de Domínio do Active Directory, Desktops, workstations de edição de vídeo, computadores de contabilidade, etc.

O comportamento típico observável de ativos infectados era um Desligamento Inesperado do Sistema Operacional, após o qual o sistema se tornava não inicializável: o MBR estava faltando (me pergunto por que…). Um segundo sintoma era um preenchimento de 100% da partição do sistema, o que, como sabemos, faz com que o sistema se comporte de maneira anormal e, pela recomendação da Microsoft, “Solicita contato com um Administrador de Sistema”. Do ponto de vista da equipe de segurança interna, parecia que máquinas Windows aleatórias travavam completamente sem qualquer motivo ou relacionamento óbvio. Um terceiro e não menos importante sintoma era todos os colegas da mesma indústria se ligando e relatando os mesmos dois primeiros sintomas…

Algumas coisas eram claras para mim neste ponto:

• Foi um ataque direcionado, meticulosamente planejado e orquestrado muito antes da data em que foi realmente posto em prática.
• Não é uma exploração de vulnerabilidade dia 0. O ataque é de múltiplas etapas, envolvendo tanto engenharia social e insiders ou um sistema de armamento, entrega e comando e controle de várias camadas, modular e sincronizado. Olá modelo Cyber Kill Chain 😉
• O timing do ataque não é aleatório: aconteceu exatamente no dia das eleições estaduais locais, destinado ou a interromper a cobertura da mídia das eleições (o que nunca aconteceu) ou a data foi usada como um disfarce para distrair do propósito principal do ataque. Isso também pode ser uma apresentação e tanto das capacidades de uma nova arma cibernética em escala nacional.

Recomendei aos meus colegas que se preparassem, colocassem quaisquer dúvidas de lado e se concentrassem em duas coisas: redução de danos colaterais e máxima coleta de evidências. Tentamos obter tudo o que pudermos: PCAP’s, instantâneos, capturas de tela, logs do Windows, alertas SIEM & IPS, dumps de memória e, claro, amostras de malware. Obviamente, os sistemas tradicionais de antivírus e outras defesas ativas estavam silenciosos. Nas primeiras 24 horas do ataque, conseguimos obter um vírus chamado “ololo.exe” e o carregamos no VirusTotal, apenas para descobrir que nenhum antivírus estava ciente deste malware. A ser continuado com os resultados da análise reversa do malware e resultados da investigação inicial…

Resultados da investigação inicial e análise reversa do malware do Fire Sale Ucrânia >>