Como estratégia para levar um infeliz recrutador da EMC a abrir uma armadilha em forma de planilha do Excel, pode não ser um primor de sofisticação. Mas pesquisadores da empresa de segurança F-Secure acreditam que isso foi suficiente para invadir uma das mais respeitáveis empresas de segurança digital do planeta – e o primeiro passo de um ataque complexo que, em última instância, pôs em risco a segurança de grandes empresas de Defesa dos Estados Unidos, como Lokheed Martin, L-3 e Northrop Grumman.
O e-mail foi enviado em 3 de março e carregado em um serviço gratuito VirusTotal, usado para vasculhar mensagens suspeitas, em 19 de março, dois dias depois que a RSA veio a público com a notícia de que tinha sofrido uma invasão, no que foi uma das piores brechas de segurança já registradas.
Pesquisadores da F-Secure, a empresa que descobriu a mensagem na segunda-feira (22/8), acreditam que provavelmente foi ela que levou à invasão da RSA. Se isso for verdade, a descoberta trará à tona, mais uma vez, os perigos de um golpe conhecido como engenharia social, que desta vez teria levado ao comprometimento de uma grande empresa de segurança.
O analista antimalware Timo Hirvonen, da F-Secure, descobriu a mensagem de e-mail enterrada entre milhões de submissões armazenadas neste banco de dados alimentado de arquivos maliciosos ou potencialmente maliciosos. O VirusTotal permite que usuários de computador carreguem um arquivo suspeito – digamos, uma planilha Excel com suspeita de infecção – e dispare a varredura de mais de 40 dos melhores antivírus do mundo. Em troca da análise, os fabricantes de antivírus examinam os arquivos, o que faz do serviço um bom modo de aprender sobre software malicioso.
Busca
Hirvonen tem vasculhado o banco de dados do VirusTotal em busca de pistas do ataque à RSA desde que a empresa reconheceu ter sido invadida. Os hackers enviaram dois e-mails de phishing a grupos pequenos de empregados da empresa dentro de um prazo de dois dias, mas ninguém de fora da RSA e de sua empresa-mãe EMC sabia do conteúdo completo dessas mensagens. Não está claro sequer se eles chegaram a ser incluídos no banco de dados do VirusTotal.
A RSA divulgou alguns detalhes sobre o ataque, mas a descoberta de Hirvonen fornece uma primeira perspectiva sobre o que levou um empregado da EMC a abrir este perigoso anexo.
“O e-mail foi bom o suficiente para enganar um dos funcionários, fazendo com que ele o recuperasse da pasta Lixeira e abrisse o anexo Excel”, escreveu o chefe de novas tecnologias da RSA Uri Rivner, em um post publicado em 1º de abril que confirmava o que a RSA tinha dito publicamente sobre o e-mail. “Foi uma planilha intitulada ‘2011 Recruitment plan.xls’”.
Hirvonen não sabia se conseguiria encontrar este e-mail no VirusTotal. Mas ele pensou que poderia haver uma chance de alguém na RSA ter carregado o arquivo para ver o que havia nele. Uma busca pela planilha 2011 Recruitment Plan não trouxe resultados.
Mas neste mês Hirvonen terminou a construção de uma ferramenta de análise de dados que permitia encontrar sua agulha no palheiro do VirusTotal. Sua técnica: vasculhar os dados em busca de objetos Flash – software escrito para rodar no Flash Player da Adobe – parecidos com os que podem ter sido usados no ataque à RSA. A empresa tinha dito que os hackers utilizaram software que tiraram proveito de um bug no Adobe Flash e ofereceu alguns detalhes técnicos sobre o ataque.
“Foi difícil encontrá-lo”, disse Hirvonen. “Nós realmente tivemos de trabalhar duro para descobrir.”
Disfarce
Com esta nova ferramenta, Hirvonen rapidamente descobriu um arquivo .msg do Microsoft Outlook. Quando ele o abriu, sabia que tinha encontrado algo. Dentro dele, havia uma mensagem que tinha sido disfarçada para parecer ter sido enviada pelo site de recrutamento Beyond.com.
“Repassando este arquivo para sua avaliação. Favor abrir e ver seu conteúdo”, dizia a mensagem. O assunto: “2011 Recruitment plan”. O anexo: uma planilha Excel intitulada “2011 Recruitment plan.xls”.
Examinando mais de perto, Hirvonen descobriu que o arquivo parecia combinar com a descrição da RSA de todas as formas possíveis. O arquivo Excel continha o mesmo código de ataque em Flash; ele usava a mesmo software de controle remoto, chamado Poison Ivy, e tentava se conectar ao mesmo endereço de Internet divulgado pela RSA.
O e-mail foi enviado a funcionários da EMC, aparentemente para o departamento de recursos humanos, e indicava ter sido enviado por webmaster@beyond.com, um endereço genérico de um site que, no passado, chegou a divulgar vagas da EMC. Mas este era um endereço de disfarce, disse Hirvonen. Na verdade, o e-mail não tinha sido enviado pelos servidores da Beyond.com.
A F-Secure acredita que este foi um dos dois e-mails maliciosos que tinham a RSA como alvo.
Persistência
À época, a RSA classificou o incidente como um “ciberataque extremamente sofisticado”. Mas, se este for mesmo o e-mail usado na invasão, ele serve de exemplo a um princípio básico desses ataques de ciberespionagem – os hackers usarão qualquer coisa que funcione, até mesmo truques simples. Se eles falharem, tentarão de novo e de novo, até conseguirem.
A chave, segundo os especialistas em segurança, é atrair os invadores com iscas e impedir que zanzem pela rede interna depois que a tenham invadido.
Contatado na terça-feira (23/8), o grupo RSA Security da EMC relutou em dizer qualquer coisa sobre a mensagem. A RSA não confirmou se havia diferenças entre o e-mail de Hirvonen e o que comprometeu a segurança da empresa. Ela também não confirmaria se foi esta a mensagem que permitiu a invasão. “Nós podemos confirmar se este foi o e-mail que receberam? Não”, disse a porta-voz da RSA, Helen Stefan.
Se foi este o ataque que escancarou a segurança da RSA, não foi tão sofisticado assim, disse Alex Stamos, sócio da iSec Partners, consultoria de segurança associada ao NCC Group. “Para a RSA, este é um caso embaraçoso”, disse. “Ele ensina que, em qualquer empresa de porte razoável, mesmo uma empresa de segurança, haverá alguém que fará algo realmente estúpido.”
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário