O Departamento de Defesa dos EUA tem outra vantagem em seu limite de guerra cibernética depois de derrubar a rede de crimes cibernéticos de Turla, uma gangue criminosa ligada à Rússia chamada de um dos grupos de espionagem cibernética mais sofisticados do mundo.
Autoridades federais anunciaram na terça-feira que as agências de segurança cibernética e inteligência de todos os países membros do Five Eyes derrubaram a infraestrutura usada pelo malware de espionagem cibernética Snake operado pelo Serviço Federal de Segurança da Rússia (FSB).
O Five Eyes Intelligence Oversight and Review Council (FIORC) é composto por entidades não políticas de supervisão, revisão e segurança da inteligência da Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos.
O DOJ também relatou a neutralização do malware Snake usado pelo grupo. Relatórios afirmam que ele foi encontrado em computadores em 50 países e anteriormente rotulado pela inteligência dos EUA como “um dos conjuntos de malware mais sofisticados usados pelos serviços de inteligência russos”.
Atores cibernéticos maliciosos usaram Snake para acessar e exfiltrar documentos confidenciais de relações internacionais e outras comunicações diplomáticas por meio de uma vítima em um país da OTAN. Nos Estados Unidos, o FSB vitimou indústrias, incluindo instituições educacionais, pequenas empresas e organizações de mídia.
Infraestrutura crítica atingida por malware de cobra envelhecido
Setores críticos de infraestrutura, como governo local, finanças, manufatura e telecomunicações, também foram afetados, de acordo com relatórios da Agência de Segurança Cibernética e Infraestrutura (CISA). A CISA é a principal agência responsável por proteger a infraestrutura crítica do país contra ameaças físicas e cibernéticas.
O anúncio de remoção surpreendeu alguns especialistas em segurança cibernética devido à sua natureza envelhecida. O FSB ainda estava usando Snake até a queda. O backdoor Snake é uma estrutura antiga que foi desenvolvida em 2003 e várias vezes vinculada ao FSB por muitos fornecedores de segurança, de acordo com Frank van Oeveren, gerente de Threat Intelligence & Security Research da Fox-ITparte de Grupo NCC.
“Normalmente, você esperaria que os atores do estado-nação queimassem a estrutura e começassem a desenvolver algo novo. Mas o próprio Snake é sofisticado e bem montado, o que mostra quanto tempo e dinheiro foram gastos no desenvolvimento da estrutura”, disse ele ao TechNewsWorld.
Vitória de Alto Perfil
“Por 20 anos, o FSB confiou no malware Snake para realizar espionagem cibernética contra os Estados Unidos e nossos aliados – isso termina hoje”, disse o procurador-geral adjunto Matthew G. Olsen, da Divisão de Segurança Nacional do Departamento de Justiça.
Claramente, os operadores do backdoor do Snake cometeram alguns erros. Muitas vezes é assim que os detetives cibernéticos têm sucesso nas quedas, observou van Oeveren.
ANÚNCIO
“Ao longo dos anos, várias derrubadas foram realizadas nos backdoors/botnets do Serviço de Inteligência Russo, o que mostra um certo grau de amadorismo. Mas Turla mostrou suas habilidades e criatividade (em todo), e isso não deve ser subestimado”, disse ele.
De acordo com a equipe Fox-IT do NCC Group, o backdoor Snake é usado apenas para alvos de alto perfil, como governos, setor público ou organizações que trabalham em estreita colaboração com esses dois.
“Este backdoor é usado exclusivamente para espionagem e permanece fora do radar o maior tempo possível”, disse ele.
Escondendo-se em plena vista
Alguns anos atrás, a equipe de segurança de van Oeveren trabalhou em um caso de resposta a incidentes em que o malware Snake foi observado. Durante este caso, Turla não foi detectado por alguns anos e só foi encontrado por pura sorte, explicou van Oeveren. O backdoor foi usado para exfiltrar documentos confidenciais relacionados à organização da vítima.
“O Turla provavelmente continuará com um quadro diferente, mas é sempre uma surpresa o que o grupo fará”, ofereceu.
Nos últimos tempos, o Serviço de Inteligência Russo criou vários backdoors em diferentes linguagens de programação, observou van Oeveren. Isso mostra a força de vontade para desenvolver novas ferramentas para suas operações, e ele espera que agora desenvolvam um kit de ferramentas semelhante em uma linguagem de programação diferente.
“Não subestime o grupo que usa a porta dos fundos do Snake. Como vimos antes, é persistente e geralmente passa despercebido por muitos anos antes de ser descoberto em uma rede de destino”, alertou.
As vítimas do Snake devem sempre lidar com os compromissos do Snake/Turla com renomadas empresas de resposta a incidentes. Ele alertou que esses ataques e o uso de backdoor são muito sofisticados para serem controlados por conta própria.
ficar mais seguro
As organizações podem tomar várias medidas para se proteger de ataques de malware como o Snake Malware, aconselhou James Lively, especialista em pesquisa de segurança de terminais da tânio. Esses esforços incluem garantir que a organização tenha um inventário preciso de ativos, que os sistemas sejam corrigidos e atualizados, campanhas de phishing e treinamento sejam realizados e que fortes controles de acesso sejam implementados.
“A cooperação internacional também pode ser melhorada para combater o cibercrime, incentivando o compartilhamento de informações e a assinatura de acordos e NDAs e realizando investigações conjuntas”, disse ele ao TechNewsWorld.
A maior ameaça à segurança cibernética que as organizações enfrentam atualmente é a ameaça interna. As organizações podem fazer pouco para evitar que um funcionário insatisfeito ou alguém com acesso elevado cause danos catastróficos.
“Para combater essa ameaça, as organizações devem procurar limitar o acesso aos recursos e atribuir o número mínimo de permissões necessárias aos usuários para desempenhar suas funções”, sugeriu Lively.
A principal lição a ser aprendida com a interrupção da rede de malware Snake é que basta um sistema não corrigido ou um usuário não treinado para clicar em um link de phishing e comprometer toda uma organização, explicou ele. A fruta mais baixa ou seguir a rota com menos resistência geralmente é o primeiro caminho que um invasor visa.
“Um excelente exemplo disso é um sistema antigo sem patches que é público na Internet e foi esquecido pela organização”, ele ofereceu como exemplo.
Cooperação Internacional Essencial
Derrubar uma extensa rede administrada por uma agência de segurança estadual é, sem dúvida, um grande empreendimento. Mas, mesmo com isso, ainda é surpreendente que o malware Snake tenha conseguido operar por tanto tempo, observou Mike Parkin, engenheiro técnico sênior da empresa de remediação de riscos cibernéticos corporativos. Ciber Vulcano.
Os agentes de ameaças podem usar muitos vetores de ataque diferentes para desembarcar suas cargas de malware, portanto, nunca há apenas uma coisa. Dito isso, a educação do usuário é vital, pois os usuários de uma organização são sua superfície de ameaça mais ampla e complexa.
As organizações também precisam garantir que seus sistemas operacionais e aplicativos sejam mantidos atualizados com um programa de patch consistente e eficaz – e garantir que os aplicativos sejam implantados de acordo com as melhores práticas do setor com configurações seguras também é uma necessidade, de acordo com Parkin.
“Lidando com política internacional e questões geopolíticas, pode ser um verdadeiro desafio cooperar efetivamente entre fronteiras. A maioria dos países ocidentais pode trabalhar em conjunto, embora os desafios jurisdicionais muitas vezes atrapalhem. E obter cooperação de nações que podem não cooperar na melhor das hipóteses e ativamente hostis na pior das hipóteses pode tornar impossível lidar com alguns atores de ameaças ”, disse ele ao TechNewsWorld.