Coreia do Sul testa capacidade cibernética dos cidadãos

Campanha de ciberprática destinou-se à espionagem dos usuários, utilizando amostra de malware real em ambiente controlado; o que parecia ser um ataque dirigido contra setores específicos foi um exercício oficial para testar a resposta da nação

Compartilhar:

Supostos ataques de agentes da Coreia do Norte rendem sempre um alto impacto na área de segurança da informação. O infame ataque à Sony Pictures em 2014, por exemplo, foi relatado por alguns como sendo obra de agentes de ameaça norte-coreanos. Há um grande interesse também no Lazarus, que é supostamente um grupo ligado à Coreia do Norte responsável por ataques a bancos globais.

 

No entanto, no recente caso explorado pela Trend Micro foram analisados ataques de menor escala nos quais um grupo agente supostamente atacou alvos de grande repercussão dos setores de energia e transporte da Coreia do Sul por mais de três anos consecutivos.

 

Uma olhada superficial a estes ataques, agora conhecidos como OnionDog, receberam certa atenção da mídia e poderia facilmente levar a conclusões precipitadas sobre sua autoria.

 

É aí que o time de pesquisadores da Trend Micro entra: estudando minuciosamente o assunto foi revelada uma conclusão interessante: O OnionDog não é um ataque direcionado. O OnionDog é um exercício cibernético.

 

OnionDog é uma ciberprática

 

Quando foi revelado em 2016, declarou-se que o OnionDog estaria por trás dos ataques às empresas de energia e transporte da Coreia do Sul e que foi visto na ativa – pela primeira vez – em 2013. A Trend Micro tomou conhecimento de aproximadamente 200 amostras únicas dos programas suspeitos utilizados no OnionDog, que à primeira vista, aparenta ser fruto de um pequeno, mas ainda assim significante, grupo agente de ameaça.

 

Um relatório da Equipe Helios do Qihoo 360 traz uma análise mais detalhada do OnionDog. Este relatório inclui indicadores de comprometimento (IoCs) tais como hashes de arquivos maliciosos com oito endereços de IP de comando e controle (C&C) específicos. Os endereços de IP são na verdade endereços de callback para computadores infectados pelo malware. Sua finalidade não parece maliciosa, mas meramente para gravar quais alvos foram vítimas de um teste de cibersegurança.

 

Ao consultar as resoluções de domínio no histórico destes oito endereços de IP, a Trend Micro descobriu dois pares de endereços IP com a mesma resposta HTTP em julho e agosto de 2014. Essas respostas foram únicas em varreduras HTTP históricas pela Rapid7.

 

 

O domínio “nsc.go.kr” pertence ao Centro Nacional de Cibersegurança (NCSC) da Coreia do Sul, indicando que os cinco endereços IP na tabela pertenciam ao órgão. Dois outros endereços de IP C&C mencionados no relatório tinham impressões digitais quase únicas com base em sua resposta a solicitações de HTTP básicas.

 

Isto levou a Trend Micro a crer que estes endereços também eram controlados pelo NCSC da Coreia do Sul em 2014. Assim, sete dos oito IPs listados no relatório estavam obviamente ligados ao NCSC em algum momento no passado. Apenas este fato já leva a Trend Micro a pensar que as amostras do OnionDog estavam relacionadas a ciberpráticas oficiais.

 

Analisando as amostras do OnionDog

 

Existiram diferentes grupos de amostras do OnionDog ao longo dos anos, mas elas estão todas relacionadas. As mais recentes utilizando os domínios de C&C “.onion.city” exploram profundamente o sistema afetado. Elas instalam um serviço do Windows que envia informações básicas da máquina infectada para os domínios ocultos de C&C na rede Tor.

 

Apesar de o malware utilizado no OnionDog não fazer nenhum mal real para os sistemas, ele usa truques de malware real e não está claro por que eles são necessários para uma ciberprática.

 

As amostras de 2013 com os servidores de C&C de prática pré-determinados e inalteráveis, destacados nas capturas de tela abaixo, claramente demonstram que eles são parte de uma prática. Estas amostras incluem uma MessageBox (uma mensagem exibida ao usuário) que se apresentaria se fosse executada dentro de uma faixa de tempo específica.

 

Amostras antigas do OnionDog mostram um pop-up quando a amostra é executada dentro de um determinado intervalo de tempo

 

O pop-up é traduzido a grosso modo como: “[Treinamento de resposta à ameaça de ciberprática Ulchi 2013] Avise o administrador do sistema que ele está infectado com um código malicioso”. O Ulchi parece se referir ao Ulchi Freedom Guardian Drills, um exercício de divisão militar entre a Coreia do Sul e os Estados Unidos datado de 1976. O exercício é realizado anualmente no período de agosto a setembro.

 

As datas mapeadas pela Trend Micro correspondem às faixas de tempo em que as amostras do OnionDog estiveram ativas. Segundo o site do Exército dos Estados Unidos, o Exercício do Ulchi Freedom Guardian ajuda a proteger as ciberredes de comunicações.

 

Isto mostra que durante agosto e setembro, é provável que alguns dos alertas, mensagens e outros indicadores possam ser parte de um exercício para ajudar a preparar os alvos sul-coreanos de grande repercussão para um verdadeiro ciberataque.

 

Em termos militares, o que aconteceu foi um exercício de fogo-real – usando malware como munição e que exploram profundamente e fazem o download de componentes de malware adicionais nos sistemas computacionais que servem como área de prática ou campo de batalha.

 

O perigo da ciberprática

 

Baseado nos dados coletados pela Trend, as amostras de malware referidas como OnionDog fazem parte de uma ciberprática que é conduzida todo ano.

 

As proteções colocadas em prática para limitar que o malware faça qualquer coisa fora do tempo determinado pela prática dos “exercícios”. Enquanto o malware não executa nada realmente criminoso, algumas das amostras mais novas parecem testes de intrusão invasivos nos sistemas – e que utilizam vários truques. Há o risco de usar o malware real durante as práticas de segurança.

 

Além disso, a Trend Micro encontrou 200 amostras únicas do OnionDog soltas na rede que demonstram que ferramentas e metodologias específicas usadas na prática estão em domínio público e podem ser também pesquisadas por agentes mal-intencionados. É possível que estes agentes possam obter parte do comportamento e simulá-lo, fazendo com que o departamento de Respostas aos Incidentes pense que estão respondendo à prática e tomem menos cuidado ao fazer isso.

 

Os perigos e riscos de usar um malware vivo, ou até mesmo o malware simulado, está na capacidade de contê-lo. Em pequenos exercícios, por exemplo, se a pessoa responsável pelo malware estiver ausente naquele dia por qualquer motivo – não há nada que ajude a contê-lo se as coisas saírem de controle.

 

Estes tipos de exercícios são na verdade conduzidos pelas empresas em todo o mundo para testar sua preparação no caso de um ataque de verdade.

 

A dificuldade de atribuir a autoria

 

Mesmo com uma exposição de mídia limitada, a atribuição errônea do OnionDog aos ciberataques, poderia aumentar as tensões. Ao mesmo tempo em que é muito fácil ser impactado pela necessidade de identificar o país por trás do ataque, a Trend Micro demonstrou aqui alguns motivos pelos quais não foi até o nível da atribuição de autoria do ataque.

 

Neste caso, o que parecia ser um ataque dirigido contra setores específicos foi um exercício oficial para testar a resposta da nação.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...