Campanha de ciberprática destinou-se à espionagem dos cidadãos
Supostos ataques de agentes da Coreia do Norte rendem sempre um alto impacto na área de segurança da informação. O infame ataque à Sony Pictures em 2014, por exemplo, foi relatado por alguns como sendo obra de agentes de ameaça norte-coreanos. Há um grande interesse também no Lazarus, que é supostamente um grupo ligado à Coreia do Norte responsável por ataques a bancos globais.
No entanto, no recente caso explorado pela Trend Micro – multinacional especializada na defesa de ameaças digitais e segurança na era da nuvem – foram analisados ataques de menor escala nos quais um grupo agente supostamente atacou alvos de grande repercussão dos setores de energia e transporte da Coreia do Sul por mais de três anos consecutivos.
Uma olhada superficial a estes ataques, agora conhecidos como OnionDog, receberam certa atenção da mídia e poderia facilmente levar a conclusões precipitadas sobre sua autoria.
É aí que o time de pesquisadores da Trend Micro entra: estudando minuciosamente o assunto foi revelada uma conclusão interessante: O OnionDog não é um ataque direcionado. O OnionDog é um exercício cibernético.
OnionDog é uma ciberprática
Quando foi revelado em 2016, declarou-se que o OnionDog estaria por trás dos ataques às empresas de energia e transporte da Coreia do Sul e que foi visto na ativa – pela primeira vez – em 2013. A Trend Micro tomou conhecimento de aproximadamente 200 amostras únicas dos programas suspeitos utilizados no OnionDog, que à primeira vista, aparenta ser fruto de um pequeno, mas ainda assim significante, grupo agente de ameaça.
Um relatório da Equipe Helios do Qihoo 360 traz uma análise mais detalhada do OnionDog. Este relatório inclui indicadores de comprometimento (IoCs) tais como hashes de arquivos maliciosos com oito endereços de IP de comando e controle (C&C) específicos. Os endereços de IP são na verdade endereços de callback para computadores infectados pelo malware. Sua finalidade não parece maliciosa, mas meramente para gravar quais alvos foram vítimas de um teste de cibersegurança.
Ao consultar as resoluções de domínio no histórico destes oito endereços de IP, a Trend Micro descobriu dois pares de endereços IP com a mesma resposta HTTP em julho e agosto de 2014. Essas respostas foram únicas em varreduras HTTP históricas pela Rapid7.
O domínio nsc.go.kr pertence ao Centro Nacional de Cibersegurança (NCSC) da Coreia do Sul, indicando que os cinco endereços IP na tabela pertenciam ao órgão. Dois outros endereços de IP C&C mencionados no relatório tinham impressões digitais quase únicas com base em sua resposta a solicitações de HTTP básicas.
Isto levou a Trend Micro a crer que estes endereços também eram controlados pelo NCSC da Coreia do Sul em 2014. Assim, sete dos oito IPs listados no relatório estavam obviamente ligados ao NCSC em algum momento no passado. Apenas este fato já leva a Trend Micro a pensar que as amostras do OnionDog estavam relacionadas a ciberpráticas oficiais.
Analisando as amostras do OnionDog
Existiram diferentes grupos de amostras do OnionDog ao longo dos anos, mas elas estão todas relacionadas. As mais recentes utilizando os domínios de C&C .onion.city exploram profundamente o sistema afetado. Elas instalam um serviço do Windows que envia informações básicas da máquina infectada para os domínios ocultos de C&C na rede Tor.
Apesar de o malware utilizado no OnionDog não fazer nenhum mal real para os sistemas, ele usa truques de malware real e não está claro por que eles são necessários para uma ciberprática.
As amostras de 2013 com os servidores de C&C de prática pré-determinados e inalteráveis, destacados nas capturas de tela abaixo, claramente demonstram que eles são parte de uma prática. Estas amostras incluem uma MessageBox (uma mensagem exibida ao usuário) que se apresentaria se fosse executada dentro de uma faixa de tempo específica.
Amostras antigas do OnionDog mostram um pop-up quando a amostra é executada dentro de um determinado intervalo de tempo
O pop-up é traduzido a grosso modo como: “[Treinamento de resposta à ameaça de ciberprática Ulchi 2013] Avise o administrador do sistema que ele está infectado com um código malicioso”. O Ulchi parece se referir ao Ulchi Freedom Guardian Drills, um exercício de divisão militar entre a Coreia do Sul e os Estados Unidos datado de 1976. O exercício é realizado anualmente no período de agosto a setembro.
As datas mapeadas pela Trend Micro correspondem às faixas de tempo em que as amostras do OnionDog estiveram ativas. Segundo o site do Exército dos Estados Unidos, o Exercício do Ulchi Freedom Guardian ajuda a proteger as ciber redes de comunicações.
Isto mostra que durante agosto e setembro, é provável que alguns dos alertas, mensagens e outros indicadores possam ser parte de um exercício para ajudar a preparar os alvos sul-coreanos de grande repercussão para um verdadeiro ciberataque. Em termos militares, o que aconteceu foi um exercício de fogo-real – usando malware como munição e que exploram profundamente e fazem o download de componentes de malware adicionais nos sistemas computacionais que servem como área de prática ou campo de batalha.
O perigo da ciberprática
Baseado nos dados coletados pela Trend, as amostras de malware referidas como OnionDog fazem parte de uma ciberprática que é conduzida todo ano.
As proteções colocadas em prática para limitar que o malware faça qualquer coisa fora do tempo determinado pela prática dos “exercícios”. Enquanto o malware não executa nada realmente criminoso, algumas das amostras mais novas parecem testes de intrusão invasivos nos sistemas – e que utilizam vários truques. Há o risco de usar o malware real durante as práticas de segurança.
Além disso, a Trend Micro encontrou 200 amostras únicas do OnionDog soltas na rede que demonstram que ferramentas e metodologias específicas usadas na prática estão em domínio público e podem ser também pesquisadas por agentes mal-intencionados. É possível que estes agentes possam obter parte do comportamento e simulá-lo, fazendo com que o departamento de Respostas aos Incidentes pense que estão respondendo à prática e tomem menos cuidado ao fazer isso.
Os perigos e riscos de usar um malware vivo, ou até mesmo o malware simulado, está na capacidade de contê-lo. Em pequenos exercícios, por exemplo, se a pessoa responsável pelo malware estiver ausente naquele dia por qualquer motivo – não há nada que ajude a contê-lo se as coisas saírem de controle.
Estes tipos de exercícios são na verdade conduzidos pelas empresas em todo o mundo para testar sua preparação no caso de um ataque de verdade.
A dificuldade de atribuir a autoria
Mesmo com uma exposição de mídia limitada, a atribuição errônea do OnionDog aos ciberataques, poderia aumentar as tensões. Ao mesmo tempo em que é muito fácil ser impactado pela necessidade de identificar o país por trás do ataque, a Trend Micro demonstrou aqui alguns motivos pelos quais não foi até o nível da atribuição de autoria do ataque.
Neste caso, o que parecia ser um ataque dirigido contra setores específicos foi um exercício oficial para testar a resposta da nação.
Seja o primeiro a comentar on "Malware é implementado na Coreia do Sul para testar capacidade cibernética dos cidadãos"