CIBERATAQUES E HACKING, como são efectuados?

Muito de fala em ciberataques e hacking, mas muito raramente se fala de como se processam, pois, sabendo isso, 99% dos mitos e “divulgações comerciais” caem por terra.

Basicamente existem de 3 tipos:

• Negação de serviço
• Intercepção dos dados
• Infiltração

Vou assim muito brevemente apresentar cada um deles e suas consequências.

Negação de serviço

São os objectivos de ataques DOS e DDOS.

O ciberataque DOS é efectuado quando é utilizado o envio de pacotes de um protocolo qualquer a grande velocidade e ocupação de banda de rede de modo a impossibilitar por saturação da mesma que o destinatário possa comunicar, podendo ou não utilizar um algoritmo de desmultiplicação ou amplificação.  Exemplo: Se mandarem pacotes ICMP numa quantidade superior ao que o destino pode receber, mesmo que esses sejam bloqueados, os mesmos vão sempre saturar o equipamento de entrada na internet, ou seja, vai ficar saturado e não poder aceder à mesma.

O DDOS é similar, mas, com uma diferença, alguém previamente instalou malware num equipamento alheio (zombie) e o deixou ficar dormente, depois o mesmo é activado e através de um equipamento controlador o vai activar e fazer o envio de tráfego de modo discreto a fim de não ser detectado pelo proprietário, depois, é possível ao activar todos os infectados ou parte deles.

A rede de equipamentos com malware para DDOS tem o nome de “botnet” e a mesma rede pode ser utilizada por grupos (cibercriminosos, casuais, APT’s, militares, etc.), por pertença ou por aluguer, (https://www.futurebehind.com/botnet-mirai-ddos-minecraft/ ).

Este tipo de ataque de negação de serviço, é vulgarmente utilizado por hactivistas, afim de terem publicidade, como chantagem para obter dinheiro é menos frequente.

Intercepção dos dados

É mais conhecido como “man-of-the-midle”, onde o princípio é colocar algo no meio do canal de comunicação que possibilitem analisar os dados de informação que transitam.

Tecnicamente o visualizar e analisar (interceptar) os pacotes de informação que passam entre os outros 2 pontos, podendo assim encontrar passwords e outra informação, que pode ser depois utilizada com outros objectivos.

Um dos métodos mais utilizados é a utilização de equipamento WiFi a duplicar (ou substituir por força do sinal) um AP existente por outro (“Evil-Twin”), levando os incrédulos a se ligarem a este último e interceptar assim as comunicações. Este método descrito é muito utilizado em WiFi’s de acesso público ou privados com acesso do exterior das instalações.

Infiltração

É o modo mais publicitado, porém não é tão rápido e evidente como nos filmes e noticias. Vou tentar explicar de modo básico cada um dos passos e possíveis técnicas e objectivos, pois são muito variadas.

Existe uma forma casual e aleatória que tem como alvo principal o utilizador doméstico e outra pensada para organizações, esta última mais elaborada é a que vamos retratar.

As várias fases ou etapas são:

• Reconhecimento
• Armamento
• Entrega
• Exploração
• Instalação ou “pivoting”
• Acção
• Conclusão

No caso de “pentesting” (https://defenselifecycle.com/noticias/pentesting-o-que-e/ ) em “black box”, para além das restrições contratuais, não existem operações com possibilidades de acesso a dados classificados e críticos, modificações ou transferência de informação, mas apenas detecção ou possibilidade.

Etapa um – Reconhecimento

Antes de lançar um ciberataque, os cibercriminosos identificam primeiro um alvo vulnerável e exploram as melhores maneiras de explorá-lo. O alvo inicial pode ser qualquer pessoa de uma organização.

Os invasores precisam apenas de um único ponto de entrada para começar. E-mails de phishing direcionados são comuns nesta etapa (taxa de sucesso superior a 90%), como um método eficaz de distribuição de malware.
O objetivo dessa fase é conhecer o alvo.
As perguntas que os cibercriminosos vão responder neste estágio são:

• Quem são as pessoas importantes na empresa? Isso tem resposta no site da empresa ou no LinkedIn.
• Com quem eles fazem negócios? Para isso, eles podem usar a engenharia social, por meio de alguns “telefonemas de suporte ou clientes” para a empresa. A outra maneira é a boa e velha recolha de analise de lixo.
• Que dados públicos estão disponíveis sobre a empresa? Os cibercriminosos recolhem informações via endereço IP e executam varrimentos para determinar que hardware e software utilizado. É verificada a base de dados de registo da web do ICAAN.
• Amizades podem ser conseguidas por meio de redes sociais ou encontros casuais no restaurante durante o almoço, são muito úteis para fornecerem informação interna.

Quanto mais tempo os cibercriminosos gastam a obter informações sobre as pessoas e os sistemas da empresa, mais bem-sucedida será a tentativa de hacking.

A engenharia social tem aqui um aspecto importante, pois, para além da “data mining”, possibilita ultrapassar algumas barreiras que mais tarde vão aparecer ou mesmo ter acesso prévio às infraestruturas.

Esse método pode demorar vários meses a ser efectuado.

Etapa dois – Armamento

Nesta fase, o cibercriminoso utiliza as informações já recolhidas na fase anterior para criar as coisas de que precisará para entrar na rede. Isso pode criar e-mails de Spear Phishing confiáveis. Pareceriam e-mails que poderiam receber de um fornecedor conhecido ou outro contacto comercial. O próximo é a criação de Watering Holes, ou páginas da web falsas. Essas páginas da web serão idênticas à página da web de um fornecedor ou até mesmo à página da web de um banco. Mas o único objetivo é capturar seu nome de utilizador e senha, ou oferecer o download gratuito de um documento ou algo do seu interesse. A última coisa que o invasor fará neste estágio é colectar as ferramentas que planeia utilizar assim que obtiver acesso à rede para que possa explorar com êxito quaisquer vulnerabilidades que encontrar.

Neste caso, a informação recolhida por “man-of-the-middle”, via telefone, lixo e outras é algo que vai ajudar (e muito) esse tipo de escolha dos diferentes métodos a serem utilizados de modo a aumentarem a sua eficácia e rapidez.

A somar a essas técnicas, pode-se de forma “cuidada” mapear a rede interna (nada obriga a utilizar os protocolos e seus comportamentos usuais) e a ser analisados possíveis vulnerabilidades de equipamentos detectados de modo a possibilitar a utilização de “exploids” para a próxima etapa.

Esta etapa demora semanas e meses a ser analisada e bem planeada.

Etapa três – entrega

Agora o ciberataque começa. E-mails de phishing (maior rapidez e facilidade) (https://tvi24.iol.pt/sociedade/justica/football-leaks-email-falso-das-financas-permitiu-intrusao-no-escritorio-plmj ) são enviados ou aplicações para equipamentos moveis, páginas da web do Watering Hole são disponibilizadas na Internet e o invasor espera por todos os dados de que precisa para começar a actuar. Se o e-mail de phishing contiver um anexo armado, o invasor espera que alguém abra o anexo e para o malware ligar para casa.

Poderão ter acesso a troca de componentes de equipamentos ou novos equipamentos a serem distribuídos, trocando os referidos ou outros adulterados com “bónus” (Exemplo: Impressora, placa de rede, placa de vídeo, switch, disco externo, um simples carregador USB, etc).

Mas, isso não chega… Podem deixar uma pen “esquecida” na portaria de uma organização, entrar nas instalações da mesma (como “técnico”, “consultor” ou “cliente”) e ligar um discreto dispositivo RJ45 a uma porta de rede, uma pen com rootkit ou outro malware a um equipamento de sistemas, aceder à rede WiFi com credenciais previamente adquirias como cliente ou servidor, etc.; a imaginação é o limite.

Etapa quatro – Exploração

Agora começa a ‘diversão’ para o cibercriminoso. Conforme os nomes de utilizador e as senhas chegam, o cibercriminoso tenta contra sistemas de e-mail baseados na web ou conexões VPN com a rede da empresa. Se anexos com malware foram enviados, o invasor acede remotamente aos computadores infectados. O invasor explora a rede e tem uma ideia melhor do fluxo de tráfego na rede, quais sistemas estão conectados à rede e como eles podem ser explorados.

Esta etapa demora de dias a meses dependendo de muitos e variados factores.

Etapa cinco – instalação e pivoting

Nesta fase, o invasor garante que ele continua a ter acesso à rede. Ele vai instalar um payload que pode ser um backdoor persistente, criar contas de administrador na rede (https://www.cvedetails.com/cve/CVE-2013-1282/ ), desabilitar regras de firewall e talvez até mesmo activar o acesso remoto à área de trabalho em servidores e outros sistemas na rede. A intenção base neste ponto é garantir que o invasor possa permanecer no sistema pelo tempo que for necessário.

Neste momento, o objectivo é garantir um equipamento “pivot” sólido de modo a poder disseminar-se pela organização.

Assim, vai-se tentar instalar um rootkit (garante que depois já não é detectado por antivírus e S.O.), obtendo o total controle do Sistema Operativo (S.O.) e hardware, além de deixar passar tempo de modo a ficar disseminado em backups (caso seja detectado a operação usual é reinstalar a máquina ou dados via backups, mantendo-se assim de forma persistente o controle de pivot mal ela seja restaurada ou parte dela).

Devem também instalar túneis de comunicação de dados, por exemplo túneis DNS são muito utilizados para transferência de dados a baixa velocidade de modo a não causar alarmes em NIDS.

Etapa seis – Comando e controle

Vão ser utilizados exploids (existem mais de 4000 prontos a serem utilizados) para possibilitar escalar de direitos e permissões e o acesso a outros equipamentos alargando o controle. Começa a disseminação na rede, é iniciado com cuidado e de forma mais exaustiva o detectar vulnerabilidades tecnológicas, pois as humanas já estão a ser exploradas (mais fáceis de conseguir e com um maior espectro) de modo a serem exploradas.

Agora têm acesso à rede, contas de administrador, todas as ferramentas necessárias estão disponíveis. Podem olhar para qualquer coisa, se passar por qualquer utilizador na rede e até mesmo enviar e-mails do CEO para todos os funcionários. Nesse ponto, eles estão no controle. Eles podem bloquear toda a rede e os sistemas, se quiserem.

O grande objectivo foi atingido, (disseminação e garantia de persistência nos backups), a partir de agora, dependendo de quem ataca o modo de acção vai diferir.

Etapa sete – Acção no objetivo

Agora que têm controle total, podem atingir seus objetivos. Isso pode ser o roubo de informações sobre funcionários, clientes, projectos de produtos etc. ou eles podem começar a perturbar as operações da empresa. Nem todos os cibercriminosos estão atrás de dados passiveis de venda, alguns querem outras coisas. Se aceitar encomendas online, eles podem desligar o sistema de pedidos de recepção ou excluir pedidos do sistema. Podem até mesmo criar pedidos de encomendas e enviá-los aos clientes. Se existir um sistema de controle industrial SCADA e tiverem acesso a ele, poderão desligar o equipamento, inserir novos pontos de ajuste e desativar alarmes. Nem todos os cibercriminosos querem roubar dinheiro, vender informações ou publicar e-mails incriminadores no WikiLeaks (https://www.cmjornal.pt/portugal/detalhe/rui-pinto-apertado-por-ataque-a-cristiano-ronaldo ), alguns só querem causar dor.

Mas, vamos agora analisar os possíveis objectivos por grupos de ameaças:

• Criminosos, terem dados para vender e chantagear, pois o dinheiro é o objectivo final.
• APT’s, espionagem de informações ou integração com militares em ciberguerra, podendo atacar instalações físicas e humanas.
• Hactivistas, o objectivo é a soma das duas outras anteriores, de modo a ter propaganda ou forçar acções ideológicas (ciberterrorismo).

Actualmente, neste Verão de 2020, as acções criminosas estão a escalar para as de hactivistas, ou seja, atacam instalações físicas, sociais e humanas com o fim de pedir resgates, (industriais: https://www.propertycasualty360.com/2020/08/25/when-cyber-attacks-result-in-physical-damage-important-insurance-considerations-414-185793/?slreturn=20200823055857 , saúde: https://healthitsecurity.com/news/malware-destroys-data-of-30000-fondren-orthopedic-patients ).

Etapa oito – conclusão e exploração de objectivos finais

Agora a má noticia… depois de tudo feito e conseguido durante vários meses ou mesmo anos, o que falta?

Sim, isso mesmo, o que não referi: o rasonware.

Quando aparece esta notícia de resgate, significa que durante meses tiraram dados, implantaram-se, estão disseminados na infraestrutura e backups (reinstalar a maquina normalmente não é solução se a mesma for reinstalada por backups com informação em ficheiros binários), em dispositivos moveis e temporários e que apenas desejam apenas um “extra” por já terem tudo o que para eles préviamente tinha valor.

Prepare-se para o ataque

E agora? O que pode fazer para proteger sua organização desta panóplia de ciberataques? E sua empresa e até mesmo sua reputação como vai ficar? Precisa se preparar para o inevitável. Vamos enfrentá-lo, mais cedo ou mais tarde os cibercriminosos VÃO aparecer.

Sabemos uma coisa, que toda a “frente de ataque” é explorada. O conceito tecnológico (ferramentas e produtos de cibersegurança) são apenas 40% das possibilidades a serem utilizadas, e, portanto, vai ser dado mais ênfase aos outros 60% que são esses em que o “dinheiro só por si não pode comprar”.

A analise forense não irá resolver o problema, pois, normalmente os ataques têm origem em países que não existem acordos judiciais para o tipo específico que crime. Assim, a solução é pró-activa e não reactiva, depois da “casa assaltada” e sendo a possibilidade infinitesimal de apanhar os criminosos, a única opção disponível é prevenir e com todas as possibilidades analisadas, pois a que for descorada, é essa mesmo que vai ser utilizada.

Como num exército em operação defensiva, toda a frente é constituída por camadas e todas as diferentes componentes integradas como um todo (depois da OAZR tem os PAC, PAG e a FCobertura, e antes tem as varias Reservas e Apoios de cada escalão de unidade) onde a ideia da simples e única linha como nos filmes é irreal e não funcional; na segurança de informação é idêntico.