Hackers iranianos invadiram servidores VPN para plantar backdoors

Hackers iranianos invadiram servidores VPN para plantar backdoors em empresas ao redor do mundo. Os hackers iranianos direcionaram as VPNs Pulse Secure, Fortinet, Palo Alto Networks e Citrix para invadir grandes empresas.

O ano de 2019 foi um ano onde importantes erros de segurança foram divulgados, fragilizando um grande número de servidores VPN corporativos, como os vendidos pela Pulse Secure, Palo Alto Networks, Fortinet e Citrix.

Relatório, publicado dia 16 de fevereiro pela Clearsky, revela que as unidades de hackers apoiadas pelo governo do Irã tiveram uma grande prioridade no ano passado  em explorar bugs de VPN assim que se tornaram públicos, a fim de se infiltrar e plantar backdoors em empresas de todo o mundo.

Durante o último trimestre de 2019, a equipe de pesquisa da ClearSky descobriu uma ampla campanha ofensiva iraniana que chamamos de “Campanha Fox Kitten. Esta campanha está sendo realizada nos últimos três anos contra dezenas de empresas e organizações em Israel e em todo o mundo. Segundo um relatório da empresa de cibersegurança ClearSky, os hackers iranianos têm como alvo empresas “dos setores de TI, telecomunicações, petróleo e gás, aviação, governo e segurança“.

“Estimamos que a campanha revelada neste relatório esteja entre as campanhas mais contínuas e abrangentes do Irã reveladas até agora”

Através da campanha, os atacantes conseguiram obter acesso e apoio permanente às redes de inúmeras empresas e organizações dos setores de TI, Telecomunicações, Petróleo e Gás, Aviação, Governo e Segurança em todo o mundo.

Segundo a Clearsky a infraestrutura da campanha foi usada para:

• Desenvolver e manter rotas de acesso às organizações-alvo
• Roube informações valiosas das organizações-alvo
• Manter uma posição duradoura nas organizações visadas
• Violar empresas adicionais por meio de ataques à cadeia de suprimentos

Principais insights:

• Os grupos iranianos da APT conseguiram penetrar e roubar informações de dezenas de empresas em todo o mundo nos últimos três anos.
• O vetor de ataque mais bem-sucedido e significativo usado pelos grupos iranianos de APT nos últimos três anos foi a exploração de vulnerabilidades conhecidas em sistemas com serviços VPN e RDP sem patches, a fim de se infiltrar e assumir o controle sobre armazenamentos críticos de informações corporativas.
• Esse vetor de ataque não é usado exclusivamente pelos grupos iranianos da APT; tornou-se o principal vetor de ataque para grupos de crimes cibernéticos, ataques de ransomware e outros grupos ofensivos patrocinados pelo estado.
• Consideramos que esse vetor de ataque é significativo também em 2020, aparentemente explorando novas vulnerabilidades em VPNs e outros sistemas remotos (como o mais recente existente no Citrix).
• Os grupos iranianos de APT desenvolveram boas capacidades técnicas ofensivas e são capazes de explorar vulnerabilidades de 1 dia em períodos relativamente curtos, começando de várias horas a uma semana ou duas.
• Desde 2017, a Clearsky tem identificado grupos iranianos de APT focados em empresas de TI que fornecem uma ampla gama de serviços a milhares de empresas. A violação dessas empresas de TI é especialmente valiosa porque, através delas, é possível alcançar as redes de empresas adicionais.
• Depois de violar as organizações, os atacantes geralmente mantêm uma redundância operacional e de base instalando e criando vários outros pontos de acesso à rede corporativa principal. Como resultado, a identificação e o fechamento de um ponto de acesso não necessariamente negam a capacidade de realizar operações dentro da rede.
• A Clearsky avaliaou com uma probabilidade média-alta que os grupos iranianos de APT (APT34 e APT33) compartilhem infraestruturas de ataque. Além disso, pode ser um grupo que foi artificialmente marcado nos últimos anos como dois ou três grupos separados de APT.
• O tempo necessário para identificar um invasor em uma rede comprometida é longo e varia em meses, de modo algum. A capacidade de monitoramento existente para as organizações identificarem e bloquearem um invasor que entrou por meio de ferramentas de comunicação remota é difícil e impossível.

Ataques ocorrem horas após a divulgação

O relatório acaba com a noção de que os hackers iranianos não são sofisticados e têm menos talento do que seus colegas russos, chineses ou norte-coreanos. O ClearSky afirma que “os grupos iranianos de APT (APT – Advanced Persistent Threat ou Ameaça persistente avançada, termo frequentemente usado para descrever unidades de hackers de estado-nação) desenvolveram boas capacidades técnicas ofensivas e são capazes de explorar vulnerabilidades de 1 dia em períodos relativamente curtos“.

Em alguns casos, o ClearSky diz que observou grupos iranianos explorando falhas de VPN em poucas horas após a divulgação pública dos bugs.

O ClearSky diz que, em 2019, os grupos iranianos foram rápidos em armar vulnerabilidades divulgadas na VPN Pulse Secure “Connect” (CVE-2019-11510), na Fortinet FortiOS VPN (CVE-2018-13379) e na Palo Alto Networks “Global Protect” VPN (CVE-2019-1579).

Os ataques contra esses sistemas começaram no passado, quando detalhes sobre os bugs foram divulgados , mas eles também continuaram em 2020.

Além disso, à medida que os detalhes sobre outras falhas da VPN foram tornadas públicas, os grupos iranianos também incluíram essas explorações em seus ataques (ou seja, CVE-2019-19781 – vulnerabilidade divulgada nas VPNs “ADC” da Citrix).

Hackeando redes corporativas 

De acordo com o relatório ClearSky, o objetivo desses ataques é violar redes corporativas, mover-se lateralmente por seus sistemas internos e plantar backdoors para explorar posteriormente.

Enquanto o primeiro estágio (violação) de seus ataques visava VPNs, a segunda fase (movimento lateral) envolvia uma coleção abrangente de ferramentas e técnicas, mostrando o quão avançadas essas unidades iranianas de hackers se tornaram nos últimos anos.

Por exemplo, hackers abusaram de uma técnica conhecida há muito tempo para obter direitos de administrador em sistemas Windows através da ferramenta de acessibilidade “Sticky Keys” (veja: 1 , 2 , 3 , 4).

Eles também exploraram ferramentas de hackers de código aberto, como JuicyPotato e Invoke the Hash , mas também usaram softwares sysadmin legítimos, como Putty, Plink, Ngrok, Serveo ou FRP.

Além disso, no caso em que os hackers não encontraram ferramentas de código aberto ou utilitários locais para ajudar em seus ataques, eles também tinham o conhecimento para desenvolver malware personalizado. O ClearSky diz que encontrou ferramentas como:

• STSRCheck – Bancos de dados auto-desenvolvidos e ferramenta de mapeamento de portas abertas.
• POWSSHNET – Malware backdoor auto-desenvolvido para encapsulamento RDP sobre SSH.
• VBScripts personalizados – scripts para baixar arquivos TXT do servidor de comando e controle (C2 ou C&C) e unificar esses arquivos em um arquivo executável portátil.
• Backdoor baseado em soquete sobre cs.exe – um arquivo EXE usado para abrir uma conexão baseada em soquete para um endereço IP codificado.
• Port.exe – Ferramenta para verificar portas predefinidas em busca de um endereço IP.

Vários Grupos 

Outra revelação do relatório ClearSky é que os grupos iranianos também parecem estar colaborando e agindo colaborativamente, algo que não foi visto no passado e sugerindo uma orquestração nacional.

Relatórios anteriores sobre atividades hackers iranianas detalhavam diferentes grupos de atividades, geralmente o trabalho de um grupo singular.

O relatório do ClearSky destaca que os ataques contra servidores VPN em todo o mundo parecem ser o trabalho de pelo menos três grupos iranianos – ou seja, o APT33 (Elfin, Shamoon), o APT34 (Oilrig) e o APT39 (Chafer).

Ataques de limpeza de dados

Atualmente, o objetivo desses ataques parece realizar o reconhecimento e instalar backdoors nas operações de vigilância.

No entanto, o ClearSky teme que o acesso a todas essas redes corporativas infectadas também possa ser armado no futuro para implantar malware de limpeza de dados que pode sabotar empresas e derrubar redes e operações comerciais.

Tais cenários são possíveis e muito plausíveis. Desde setembro de 2019, duas novas linhagens de malware para limpeza de dados ( ZeroCleare e Dustman ) foram descobertas e vinculadas a hackers iranianos.

Além disso, o ClearSky também não descarta que os hackers iranianos possam explorar o acesso a essas empresas violadas para ataques à cadeia de suprimentos contra seus clientes.

Essa teoria é corroborada pelo fato de que, no início deste mês, o FBI enviou um alerta de segurança ao setor privado dos EUA, alertando sobre ataques contínuos contra empresas da cadeia de suprimentos de software “, incluindo entidades que apoiam o Industrial Control Systems (ICS) para geração global de energia, transmissão e distribuição “. O setor de ICS e energia tem sido um alvo tradicional dos grupos hackers iranianos no passado.

“Empresas devem verificar suas redes internas quanto a sinais de comprometimento”

O mesmo alerta do FBI observou ligações entre malware implantado nesses ataques e código usado anteriormente pelo grupo APT33 do Irã, sugerindo fortemente que os hackers iranianos podem estar por trás desses ataques.

Além disso, o ataque contra a Bapco, empresa nacional de petróleo do Bahrain, usou a mesma tática de “violação de VPN e movimentação lateralmente” que a ClearSky descreveu em seu relatório.

O ClearSky agora alerta que, após meses de ataques, as empresas que finalmente corrigiram seus servidores VPN também devem verificar suas redes internas quanto a sinais de comprometimento.

O relatório ClearSky inclui indicadores de comprometimento (COIs) que as equipes de segurança podem usar para verificar logs e sistemas internos em busca de sinais de invasão por um grupo iraniano.

No entanto, as mesmas falhas também foram exploradas por hackers chineses e vários grupos de ransomware e criptografia .

Novas falhas de VPN 

Além disso, levando em conta as conclusões do relatório ClearSky, também podemos esperar que os hackers iranianos também aproveitem a oportunidade de explorar novas falhas de VPN assim que se tornarem públicas. No início do mês, por exemplo, os pesquisadores de segurança  publicaram detalhes sobre seis vulnerabilidades que afetam os servidores SonicWall SRA e SMA VPN.

Leio o relatório completo em  “Fox Kitten – Campanha generalizada ofensiva contra espionagem iraniana“

Fonte: Zdnet & Clearsky

Veja também:

• Overview para Pen Test no Active Directory – Reconnaissance & Attack
• Porque o Smartphone monitorar sua localização é um problema!
• FBI aponta perdas por Compromisso de eMail de US$ 1,7 bilhão em 2019
• Microsoft emite aviso para milhões de usuários do Windows 10
• Atividade Criminosa Online no Brasil – Phishing bate record !
• Broadcom vende unidade de serviços de segurança da Symantec para Accenture
• Software de Gestão de RH Senior expõe informações confidenciais
• Impactos da Lei Geral de Proteção de Dados nas relações de trabalho
• Os principais desafios da segurança de redes
• CacheOut / L1DES: novo ataque especulativo de execução que afeta as CPUs Intel
• LGPD: O que a multa aplicada pelo MJSP ao Facebook pode nos ensinar
• Governo antecipa criação de agência de proteção de dados