Targeted Cyber Attack (TCA) : Anatomia e Proteção

Targeted Cyber Attack (TCA) ou “Ataque Cibernético Direcionado” refere-se, como o nome sugere, a um ataque direcionado a um indivíduo ou empresa com a intenção de comprometer o alvo, roubando informações ou valores financeiros por um longo período de forma furtiva, sem ser detectado.

A grande diferença de um TCA de um ataque comum é o público alvo e a persistência do ataque. Enquanto um ataque cibernético comum visa atingir o maior público possível, obtendo seu lucro através da quantidade, o TCA direciona seus esforços a uma única vítima, procurando manter-se anônimo, indetectado, enquanto captura informações e mantém-se ativo em seu ataque.

Targeted Cyber Attack – Uma ameaça real

Muitas organizações assumem que cyber ataques nunca vão ocorrer contra sua infraestrutura ou acreditam que isto “poderá ocorrer um dia, mas não hoje e nem amanhã”, acreditam que o risco de eventuais situações é próprio do negócio, da internet, e não oferecem maior risco ou prejuízo à empresa devido a natureza de sua indústria ao mesmo temo que custa muito caro, por isto não vale o custo benefício.

Em geral, frases ou pensamentos comuns a estas organizações são:

“Isto nunca acontecerá conosco”

“Nós não temos nada para esconder”

“Nós somos muito pequenos para sermos salvos”

“Porque nós?  Têm empresas muito maiores e com mais atrativos para se atacar”

“Se for atacado o nosso sistema de Firewall irá nos proteger”

“Temos investido em Firewall e Antivírus para conter estes ataques”

“Nossa área de segurança está sempre alerta”

Poderíamos responder a todas essas justificativas com uma única pergunta:

“Você deixaria de fazer o seguro do seu carro simplesmente porque sabe dirigir? ”

 Ignorar o risco e ameaça é uma forma pouco inteligente de proteger a empresa, seria muito mais adequado conhecer as ameaças, avaliar o risco real e implementar contra medidas possíveis, sempre mantendo “um olho no peixe e outro no gato”.

Segundo a CyberEdge as empresas estão sendo cada vez mais atacadas e 89% das empresas Brasileiras reportam que foram comprometidas nos últimos 12 meses. Embora os Brasileiros tenham sido os mais atacados no último ano, quem mais está preocupado com ataques no próximo período são os Japoneses, com 78,1%. De certa forma os números confirmam o pensamento registrado nos parágrafos anteriores.

Segundo pesquisa da Ernst Young de 2015 as ameaças que mais aumentaram foram as ameaças cibernéticas, em especial Phishing e malwares distribuídos por e-mail.

Como identificar um Targeted Cyber Attack?

Os TCAs são de difícil identificação, uma vez que uma de suas técnicas é permanecer “invisível”. Suas principais características são:

  • O atacante tem um alvo específico e investe tempo na coleta de dados e preparação do ataque;

  • O processo de preparação regularmente envolve algum processo de Engenharia Social;

  • Objetivo principal de um TCA é infiltrar-se na rede e roubar informações de seus servidores e banco de dados;

  • O TCA é persistente, de longa durante, e por isto investe muito esforço em permanecer “invisível” enquanto obtém o máximo de informações possíveis.

  • O TCA é avesso a publicidade e exposição na mídia;

  • Quando ativo, o TCA, realiza grande volume de transferência de dados ao longo do tempo, com baixas volumes por vez, para não ser notado;

  • O escopo de um TCA é restrito, por isto filtros baseados em reputação exclusivamente não terão alta efetividade;

 Normalmente um TCA bem-sucedido só é descoberto meses ou anos depois do seu início, onde durante todo este tempo permanece visível, sendo capaz de obter milhões de registro, informações ou desvio de valores, sem ser notado, por isto a sua identificação demanda conhecimento, planejamento, prevenção e monitoração.

Hacktivismo ou Targeted Cyber Attack?

Embora algumas técnicas e alvos, sejam comuns, o TCA difere do Hacktivismo em seu objetivo e resultado final. Enquanto o TCA se preocupa em não ser notado enquanto rouba as informações e valores de suas vítimas, o Hacktivismo visa denigrir a imagem e causar prejuízo as suas vítimas enquanto defende sua causa e por isso quanto maior a divulgação melhor. O Hacktivismonormalmente não invade rede e servidores para roubar informações ou obter ganhos financeiros, a não ser se for em benefício da promoção a sua causa.

Cybercrime ou Targeted Cyber Attack?

A maior diferença entre o TCA e o Cybercrime é o escopo. O Cybercrime procura vitimar o maior número possível de usuários em um pequeno período de tempo e obter o maio lucro possível, para não correr o risco de ser pego nos esforços de segurança e investigação, uma vez que seus ataques não tem a preocupação de se esconder por longos períodos.

O Cybercrime é um ataque mais “oportunista” e explora falhas e descuidos de suas vítimas. Já o TCA é planejado, estudado minuciosamente e explora cuidadosamente as falhas de suas vítimas por meios de engenharia Social, falhas de arquitetura, falhas de sistemas e a falta de monitoramento do ambiente de suas vítimas.

 


Fases de um Targeted Cyber Attack

 

1. Conhecimento e pesquisa

A primeira fase de um TCA é o estudo minucioso de sua vítima, pesquisando e adquirindo todas as informações possíveis e que possam ser usadas na perpetração do ataque. Esta fase utiliza técnicas de engenharia social, levantamento de dados da empresa, funcionários, colaboradores e arquitetura técnica de sistema e equipamentos, incluindo versões, patches aplicados e configurações

 2. Estratégia e ataque

 De posse das informações coletadas o atacante passa a estudar e definir uma estratégia de ataque e a escolher o melhor momento para iniciar a ofensiva.

O atacante utiliza-se de vários métodos para conseguir infiltrar-se na rede sem ser notado, por isto em sua estratégia o atacante explora o despreparo de funcionários e colaboradores para infectar ou abrir as portas necessárias, bem como pode explorar de forma direta as vulnerabilidades e más configurações observadas. Entre os métodos mais usados estão engenharia social, spear Phishing e-mail e ataque zero day.

3. Command and Control

Após conseguir injetar o seu código robô malicioso na rede, o atacante inicia a comunicação remota com o robô. Através de técnicas avançadas o atacante inicia, de forma transparente aos sistemas de monitoração, o envio de comandos a serem executados pelo código robô no ambiente para que ele expanda seu perímetro de acesso e obtenha o completo mapeamento e controle da rede atacada.

4. Movimentação lateral

 Com o código robô completamente estabelecido e de plenos poderes de comunicação e acessos, inicia-se uma “movimentação lateral” expandindo a infecção, tomando controle de outros sistemas e obtendo mais informações do ambiente, selecionando sistemas e base de informações importantes para o sucesso do ataque.

5. Asset / Data Discovery

Uma vez mapeados os recursos de rede, servidores, base de dados, realizado a infecção por códigos maliciosos e obtido as credenciais necessárias para acesso, o atacante inicia a fase de identificação e selecionamento de dados e informações relevantes, objetos alvo do ataque.

Nesta fase o atacante pode exportar pequenas amostras de dados para análise e qualificação de valor.

6. Exportação de dados

Objetivo principal de um TCA é a obtenção das informações ou transferência de valores que serão realizados nesta fase, por isto se o atacante conseguir estabelecer um meio furtivo de comunicação, que possa não ser identificados pelos sistemas de monitoração, esta fase poderá durar meses ou anos, consecutivos ou não.

De posse de todas as informações necessárias, estabelecido o padrão de comunicação com os sistemas internos e selecionadas as informações desejadas, o atacante inicia então um roubo propriamente dito. Aqui o atacante exporta todas as informações desejadas, movimenta valores e dados em quantidades e velocidade suficiente para não ser notado.

 Um banco europeu, há alguns anos, foi alvo de um funcionário que plantou um código que transferia centavos das todas as operações bancárias realizadas para sua conta pessoal e outro banco. Durante anos esta operação passou desapercebida até que um aposentado notou a constante falta dos centavos em seus recebimentos e saldo. Durante o período de ataque, o atacante movimentou cerca de US$ 1 bilhão.

“Segundo a PhishLabs  91% dos TCA usam Spear phishing emails”

Principais vetores de ataque

Os ataques TCAs usam uma variedade grande de técnicas e ferramentas para atingir seu objetivo. De forma geral os ataques podem ser classificados em:

  1. Ataques diretos – o atacante explora vulnerabilidades da rede e do sistema para obter informações sensíveis para realização do seu objetivo

  2. Ataques indiretos – o atacante utiliza um grande número de estratégias de ataques até que chegue ao seu objetivo final. Por exemplo: explorando vulnerabilidades da web, do browser ou emails.

Engenharia social

Dentre os ataques indiretos, a estratégias mais utilizadas e eficaz para obtenção de informações é a engenharia social. A engenharia social usa técnicas de manipulação psicológica explorando fatores como:  confiança, desconhecimento e curiosidade no uso de recursos tecnológicos.

Segundo o CyberEdge a maior dificuldade em se estabelecer uma proteção efetiva contra cyber ataques é a baixa conscientização de segurança dos colaboradores.

Phishing emails

 Técnica indireta amplamente utilizada e comum, o phishing e-mail é baseado na Engenharia Social e utiliza todos as suas técnicas para enganar o usuário com anexos e URLs maliciosas. Embora pareça simples, o Phishing e-mail nem sempre é de fácil detecção, pois em um TCA o atacante já possui várias informações que definem o interesse dos usuários envolvidos e as utiliza de forma criativa explorando interesse pessoais e motivos pré-conhecidos de suas vítimas.

Entre as diversas ameaças, segundo a CyberEdge, a preocupação com malwares e phishing são as duas maiores preocupações das organizações .

Vulnerabilidades e Exploits

Atualmente é quase impossível encontrarmos websites e softwares que não apresentem falhas de codificação e proteção, comumente observamos divulgações de correções para novas vulnerabilidades nos mais variados softwares e sites.

Por isso, os atacantes investigam todas as informações possíveis, desde versões de sistemas, equipamentos, nível de atualização e patches aplicados nos sistemas e servidores, quando encontradas são facilmente exploradas por códigos e vírus customizados, principalmente se a vulnerabilidade ainda não foi amplamente divulgada (caso das chamadas vulnerabilidades zero day).

Advanced malware

Dependendo da natureza do ataque e das necessidades do atacante, pode ser desenvolvido os chamados Advanced Malwares, que são sofisticados códigos maliciosos que executam operações de forma furtiva nas redes e sistemas. A utilização deste tipo de malwares são fundamentais para o sucesso do ataque e sua permanência de forma “invisível” no ambiente.

RAT – Remote Access Toolkit

Os chamados RATs são ferramentas e kits de códigos maliciosos desenvolvidos para atacar vulnerabilidades ambientes não atualizados para facilitar o roubo de dados  e execução de comandos. Os TCAs utilizam frequentemente RATs que possam explorar vulnerabilidades de equipamentos, browsers, sistemas operacionais, bases de dados, configurações e outras, detectadas durante a fase de Conhecimento e Pesquisa.

Spear Phishing ataque

Diferente do phishing tradicional spear phishing é um ataque direcionado a uma organização ou indevido. Em geral o phishing attack é usado para capturar informações sensíveis através de técnicas de engenharia social. Em um TCA o Spear Phishing tem um papel fundamental na obtenção de dados e informações, pois utiliza assuntos e motivos de interesse de suas vítimas, aumentado a credibilidade do e-mail.

O spear phishing pode utilizar técnicas de envio de anexos contaminados por códigos maliciosos onde o atacante leva a vítima a abrir o arquivo que lhe foi enviado. Embora muito se fale alertando sobre esta técnica, é muito comum que os usuários abram os arquivos pois eles utilizam temas muito comuns e de conhecimento do usuário. Por exemplo: a algum tempo atrás uma empresa do setor financeiro, aqui no Brasil, teve seu sistema invadido devido a um código malicioso recebido em arquivo no Word, o arquivo supostamente apresentava o currículo de um candidato para uma vaga anunciada pelo setor RH.

Campanhas persistentes

Diferente do Cybercrime, o TCA se utiliza de pequenas campanhas direcionadas às suas vítimas, explorando os seus principais interesses, por um longo período de tempo. O motivo desta persistência é obter a maior quantidade e volume de informações possíveis de suas vítimas de forma gradual, sem levantar suspeitas ou chamar a atenção, procurando criar um nível de confiança que permita induzir a vítima a realizar os passos planejados no ataque.

Para burlar o sistema de filtragem e antivírus os atacantes muito comumente substituem no spear phishing os anexos por URLs de sites infectados. Neste caso a vítima recebe o código malicioso ao clicar e abrir a página infectada.  Esse ataque é conhecido por “drive-by download”.

Embora o uso de URLs infectadas seja muito mais utilizado em ataques comuns, o spear phishing com links de sites maliciosos utiliza padrões diferentes e personalizados para induzir suas vítimas abrir a URL. Como os sistemas de AntiSpam já desenvolveram técnicas de identificação e reputação de URLs,   para burlar esta proteção muitas URLs permanecem com código “limpo” até certo tempo depois de ser enviado o e-mail malicioso, dando tempo do e-mail chegar à caixa postal do usuário, passando pelos filtros existentes,  após este tempo o atacante substitui o código do site, injetando o seu código malicioso.

Quando o usuário recebe o e-mail ele acredita não haver perigo, pois o e-mail já passou por todos os filtros de proteção e assim o usuário está mais sujeito a confiar e clicar no link e ser infectado.

Waterhole Attack

 O termo waterhole attack foi primeiramente utilizado pela RSA e aplica-se à usuários de internet que são infectados através de sites legítimos que foram comprometidos com códigos maliciosos.

Em um TCA o atacante estuda o comportamento de sua vítima identificando os sites que costumeiramente são acessados, então o atacante encontra uma forma de infectar estes sites e espera até que sua vítima caia na armadilha e seja infectada.

Exploração da rede

A exploração de vulnerabilidades da rede é uma das técnicas mais comuns e preferidas em uma incursão direta. Informações obtidas por meio indireto são utilizadas na realização dos ataques diretos à rede.

Os atacantes, a perpetrarem um TCA de forma direta, buscam a exploração de vulnerabilidades conhecidas e a existência de más configurações em equipamentos e sistemas. Ao identificarem e terem sucesso injetam códigos maliciosos que permitam por controle remoto e a injeção de novos comandos na rede.

No entanto ataques diretos à rede costumam deixar rastros e podem ser identificados com certa facilidade, por isto embora sejam comuns, normalmente são usados com extremo cuidado e sofisticação para não serem detectados.

BYOD

Com o avanço das tecnologias a passos largos as empresas não conseguem manter o seu parque tecnológico atualizado na velocidade desejada por seus colaboradores, desta forma muitas vezes usuários possuem recursos e equipamentos em versões e configurações superiores aos ofertados pela empresa e por isso desejam usar seus próprios equipamentos.

No entanto, o uso de equipamentos pessoais traz consigo o risco de não possuírem o mesmo nível de proteção dos equipamentos “oficiais”, aumentando o risco de infecção. Sabedores desta realidade, os atacantes, ao identificarem que equipamentos pessoais são utilizados na conexão com as redes internas, atuam no ataque visando a implantação de códigos maliciosos quando estes equipamentos são usados externamente, em redes pessoais ou abertas, de uso compartilhado, as quais claramente são menos protegidas. Após serem infectados, quando estes equipamentos se conectam na rede interna da organização eles abrem o ambiente corporativo à introdução e reprodução desses códigos dentro da empresa sem maiores barreiras, uma vez que a proteção normalmente é feita para isolar os perímetros externo do interno e implementam menor controle no perímetro interno.

“Equipamento pessoal são melhores que o da empresa, mas normalmente tem menor proteção de segurança”

 


Framework de defesa

Dado a complexidade e a profundidade de conhecimento requerido em um TCA não existe uma solução única e eficaz para proteção do ambiente, desta forma a sugestão proposta é a criação de uma estratégia estruturada composta de quatro fases:

  1. Prevenção

  2. Detecção

  3. Análise

  4. Mitigação

Prevenção

Objetivo da fase de prevenção e minimizar os riscos de um TCA explorar os componentes do ambiente da empresa.  Entre as medidas de prevenção ressaltam-se:

  • Treinamento para usuário na identificação de ameaças

  • Proteção avançada para e-mail com detecção de malwares enviados em anexos e a verificação em tempo real de URLs infectadas.

  • Manutenção e atualização constante dos sistemas e equipamentos

  • Configuração e testes constantes dos sistemas de proteção utilizados

Detecção

Uma vez estabelecidos critérios e implementados os sistemas de proteção, a fase de detecção preocupa-se com a monitoração do ambiente e identificação do ataque no menor tempo possível. A monitoração ativa do ambiente, com indicadores claros de tendência e comportamentos anômalos são fundamentais para a detecção precoce de um TCA. Para isto pode-se estabelecer estatísticas de phishing, tentativas de acesso de URLs maliciosas, tempo de detecção e número de falso-positivos para o acompanhamento e detecção dos estágios iniciais de um ataque.

Análise

Assim que um ataque é identificado a primeira coisa é identificar a fase na qual ele se encontra e tomar medidas de contenção. O objetivo da fase de análise é identificar rapidamente o ambiente comprometido e definir contramedidas eficazes para a contenção imediata do vazamento. Análises adicionais devem ser feitas posteriormente para correções definitivas do ambiente.

A existência de indicadores pode ajudar na análise e na melhoria do processo:

  • Tempo de identificação de ameaças

  • Tempo de definição das contra minha vida contramedidas

  • Tempo de implementação das compras medidas contra medidas

Mitigação

Ações devem ser implementadas e monitoradas para contenção completa do ataque, no entanto também é importante o estabelecimento de medidas de reavaliação de todo ambiente para a implementação de melhorias definitivas que impeçam novos ataques.

O trabalho de rescaldo para quantificação do prejuízo causado e da quantidade de dados roubados é igualmente importante para que a empresa possa estabelecer estratégias de mitigação dos prejuízos diretos e indiretos à marca e aos clientes afetados.

Para a mitigação dos riscos de novos ataques, diversas tecnologias podem ser utilizadas, entre elas as soluções de advanced e-mail gateway protection com funcionalidades de DLP e Targeted Attack Protection estão entre as mais efetivas devido ao fato de que o ataque indireto, através de e-mails, ser um dos mais comuns e explorados pelos atacantes para levantamento de informações e infecção dos ambientes alvo.


Conclusão

Embora seja um assunto que muitas empresas e profissionais evitam comentar ou revelar, o Targeted Cyber Attack é uma realidade de organizações criminosas, cada vez mais especializadas, e espionagem indústrial. Empresas do mundo todo tem sofrido com ataques direcionados por motivos de espionagem e roubo de informações visando extorsão de dinheiro ou benefícios públicos, o roubo de valores diretamente, embora não seja o objetivo mais comum de um Targeted Cyber Attack, também figura significantemente entre as principais preocupações nestes tipos de ataques.

Ignorar o risco da empresa ser alvo de uma ação deste tipo é ignorar o real valor do conhecimento e dos segredos industriais que sustentam o crescimento e o diferencial competitivo das empresas.

Por isto, embora seja complexo o combate a ataques desta natureza, devemos arregaçar as mangas, estudar e estruturar planos efetivos que mitiguem os riscos institucionais. Através de análises de risco bem criteriosas podemos direcionar os investimentos e tomar decisões acertadas baseados em uma análise de Pareto 80 / 20 , focando assim os esforços e obtendo o melhor custo benefício em nossos investimentos.

Conscientizar o board executivo desta necessidade e alinhar o combate, redução ou aceitação deste risco é essencial para uma boa gestão de Segurança da Informação que deseja estar alinhada aos objetivos e riscos de negócios.

Fontes :
Phishlabs – White Paper – The CSO’s Guide to Spear Phishging Defense
Techtarget.com
GFI  – White Paper / Targeted Cyber Attacks
Targeted Attacks
Understanding Targeted Attacks: What is a Targeted Attack?
Targeted Cyber Attacks – Autor: Aditya Sood and Richard Enbody
CyberEdge Group  – 2016 Cyberthreat Defense Report
Pesquisa EY Segurança da Informação 2015

 

por MindSec  01/09/2017
About mindsecblog 213 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!