Varonis | Segurança de dentro para fora

O que você precisa saber sobre o UNITEDRAKE da NSA

Escrito por Emilia Bertolli | Oct 10, 2017 10:16:00 AM

Buscando por alguma notícia boa sobre segurança de dados após a devastadora quebra da Equifax? Você não vai encontrar isso neste artigo, embora esta proposta de lei de notificação de violação conte como um pequeninho raio de luz sobre este problema. De qualquer maneira, talvez você se lembre dos Shadow Brokers, um grupo que hackeou os servidores da NSA e apontou uma vulnerabilidade no Windows que fez o ransomware WannaCry tão mortal.

Estes mesmos Shadow Brokers têm um novo anuncio de produto que, aparentemente, está baseado no spyware da NSA, identificado inicialmente nos documentos de Snowden. Bruce Schneier conta mais detalhes sobre suas origens.

(Voltando para 2014, Cindy e eu ouvimos Schneier falar durante uma conferência de criptografia, alertando os espectadores que as técnicas da NSA poderiam eventualmente atingir alguns hackers comuns. Novamente, Schneier provou estar certo.)

Conhecido como UR ou UNITEDRAKE, trata-se de um trojan avançado para acesso remoto, ou um RAT que possui implantes acompanhantes – NSA conversa com módulos remotos. Isto faz com que algumas dos RATs, reconhecidamente simples que investiguei em minha série de testes de caneta, pareçam a versão digital de ferramentas da Idade da Pedra.

O manual UNITEDRAKE

Os Shadow Brokers publicaram, gentilmente, seu manual de usuário. Recomendo que as pessoas de TI que só conhecem os malwares pelas manchetes das tech-zines examinem com cuidado este conteúdo.

Esquecendo por um momento que a Maldade S/A está por trás deste malware, este manual de 67 páginas aparece na superfície para descrever uma legítima ferramenta de TI: lá estão seções com requerimentos mínimos do software, instalação, desenvolvimento e uso.

Aos meus olhos, é um manual do usuário bem detalhado que deixa muitas empresas com vergonha. Este é o malware do qual tanto ouvimos falar e, agora, podemos ver que é real.

Não vi todas as capacidades explicadas, mas há o suficiente no manual para convencer o provável comprador de que o UNITEDRAKE é uma ferramenta real e vale a pena o investimento.

Mas continua sendo um Trojan

Quando você continua lendo o manual do UNITEDRAKE, é possível notar que se trate, essencialmente, de um RAT com uma arquitetura moderna e clássica: o lado do cliente com os implantes está no computador da vítima e se comunica com o servidor do hacker no outro lado da conexão.

A porta 80 parece ser o canal de comunicação e isso significa que o HTTP é o protocolo do “workshorse” aqui – embora o TCP cru seja mencionado também.

Escaneando alguns websites especializados no assunto, eu aprendi que os implantes da NSA, como o Salvage Rabbit, podem copiar dados de uma unidade flash, o Gumfish pode tirar fotos de uma câmera embutida e o Captivated Audience pode – adivinhe só – espionar os usuários por meio do microfone de um laptop.

Os caras da NSA pelo menos recebem crédito pela nomeação criativa de produtos.

O prognóstico

Obviamente, a NSA está em uma posição mais favorável para instalar estes implantes do que os hackers. E não está tão claro quando desse NSA-ware os Shadow Brokers estão hábeis para implementar.

Em qualquer caso, com o uso de phishing e outras técnicas, os hackers tiveram um bom histórico nos últimos anos em conseguir superar o perímetro não identificado.

Schneier também diz que o Kapersky viu alguns destes implantes na natureza.

Minha reflexão: devemos ter mais do que um pouco de medo do UNITEDRAKE e outros malwares produzidos que os hackers com alguma pequena mudança podem controlar facilmente.

Nunca acreditamos que o perímetro fosse impenetrável. Saiba como a Varonis pode detectar hackers quando eles já estão dentro da sua rede.