Table of Contents
APT29: Ciberataques e Arquitetura de Confiança Zero
O grupo russo APT29, também conhecido como Midnight Blizzard, Nobelium ou Cozy Bear, é um dos mais notórios atores de ameaças globais. Vinculado ao Serviço de Inteligência Estrangeira da Federação Russa (SVR), tornou-se conhecido por grandes violações, como nos casos do SolarWinds e do Comitê Nacional Democrata (DNC). Recentemente, também atingiu a base de códigos da Microsoft e alvos políticos na Europa, África e além.
“APT29 encarna a parte ‘persistente’ da ‘ameaça avançada persistente'”, diz Satnam Narang, engenheiro de pesquisa sénior na Tenable. “Por anos, tem persistentemente visado organizações nos EUA e na Europa, utilizando técnicas como spear-phishing e exploração de vulnerabilidades para obter acesso inicial e elevar privilégios. Seu modo de operar inclui a coleta de inteligência estrangeira e a manutenção de persistência em organizações comprometidas para futuras operações.”
O Computer Emergency Response Team da Ucrânia (CERT-UA) descobriu recentemente que o APT29 estava roubando credenciais do Windows de alvos governamentais, militares e do setor privado na Ucrânia. Após comparações com autoridades de outros países, descobriu-se que a campanha se espalhou por “uma geografia ampla”.
Segundo Narang, não é surpreendente que o APT29 busque credenciais de organizações geopoliticamente importantes. No entanto, o diferencial desta campanha foi o amplo alvo, ao contrário das anteriores, mais focadas.
AWS e Microsoft
A campanha, que começou em agosto, utilizou domínios maliciosos semelhantes aos da Amazon Web Services (AWS). E-mails enviados destes domínios instruíam sobre como integrar AWS com serviços da Microsoft e implementar arquitetura de confiança zero.
Mesmo com a aparência, a AWS relatou que os atacantes não estavam atrás de suas credenciais ou de seus clientes. O verdadeiro objetivo do APT29 estava nos anexos dos e-mails: arquivos de configuração para o aplicativo de protocolo de área de trabalho remota da Microsoft (RDP). O RDP é uma ferramenta usada tanto por usuários legítimos quanto por hackers para operar computadores remotamente.
“Os invasores geralmente tentam forçar a entrada ou explorar vulnerabilidades e, então, configurar o RDP. Neste caso, eles querem estabelecer essa conexão logo de início”, explica Narang.
Abrir um desses anexos maliciosos desencadearia imediatamente uma conexão RDP para um servidor do APT29. Além disso, os arquivos continham diversos parâmetros maliciosos, permitindo ao invasor acesso ao armazenamento do computador alvo, dispositivos de áudio, recursos de rede, impressoras, portas de comunicação (COM), e mais, com a capacidade adicional de executar scripts maliciosos personalizados.
Bloqueio de RDP
A AWS acabou por interromper a campanha ao assumir os domínios maliciosos usados pelo grupo.
Para vítimas em potencial, o CERT-UA recomenda precauções rigorosas: monitorar logs de rede para conexões com endereços IP associados ao APT29 e analisar todas as conexões de saída para endereços IP na Web até o fim do mês.
Para organizações em risco, Narang oferece um conselho simples: “Não permita o recebimento de arquivos de RDP. Bloqueie-os em seu gateway de e-mail. Isso vai desativar a ameaça definitivamente”, ele recomenda.
A AWS recusou-se a fornecer mais comentários para esta matéria. A publicação Dark Reading também procurou a Microsoft para obter sua perspectiva.
Exploração de Vulnerabilidades em Conexões RDP
A exploração de vulnerabilidades em conexões RDP pelo grupo APT29 envolve várias estratégias sofisticadas, aqui descritas com detalhes sobre como elas funcionam e como mitigá-las:
Técnicas de Ataque
- Phishing e Anexos Maliciosos:
- O APT29 envia e-mails com anexos maliciosos que, quando abertos, estabelecem uma conexão RDP com servidores controlados pelos atacantes. Esses anexos contêm parâmetros maliciosos que permitem ao invasor acessar recursos do computador alvo, incluindo armazenamento, dispositivos de áudio, recursos de rede, impressoras, e portas de comunicação (COM), além de executar scripts maliciosos personalizados.
- Força Bruta e Exploração de Vulnerabilidades:
- Os atacantes também tentam forçar a entrada nas contas de RDP ou explorar vulnerabilidades existentes no protocolo ou na configuração do sistema. Uma vez que a conexão RDP é estabelecida, eles podem configurar o RDP para manter o acesso persistente.
Medidas de Mitigação
- Bloqueio de Arquivos de RDP:
- Uma medida crítica é bloquear o recebimento de arquivos de RDP nos gateways de e-mail. Isso pode desativar a ameaça definitivamente, impedindo que os anexos maliciosos sejam entregues aos usuários.
- Monitoramento de Logs:
- As organizações devem monitorar rigorosamente os logs de rede para detectar conexões com endereços IP associados ao APT29. Analisar todas as conexões de saída para endereços IP suspeitos é essencial para identificar e responder a possíveis incursões.
- Segurança de Autenticação:
- Implementar métodos de autenticação multifator (MFA) para acessos RDP pode significativamente reduzir o risco de ataques de força bruta e exploração de credenciais roubadas.
- Atualizações e Patches:
- Manter o sistema e o protocolo RDP atualizados com os últimos patches de segurança é crucial para fechar vulnerabilidades conhecidas que os atacantes poderiam explorar.
- Limitação de Acesso:
- Restringir o acesso RDP apenas a endereços IP confiáveis e usar listas de controle de acesso (ACLs) para limitar quem pode se conectar via RDP pode ajudar a reduzir a superfície de ataque.
- Arquitetura de Confiança Zero:
- Embora a campanha do APT29 tenha simulado instruções para implementar arquitetura de confiança zero, implementar essa abordagem de segurança de forma genuína pode ajudar a minimizar o impacto de uma brecha, mesmo que os atacantes consigam acessar o sistema.
Essas medidas combinadas podem ajudar a mitigar eficazmente os ataques do APT29 que visam explorações de vulnerabilidades em conexões RDP.
Exemplos de Incidentes Envolvendo o APT29
Para ilustrar a ameaça representada pelo APT29, é importante destacar alguns incidentes notórios:
- Ataque ao SolarWinds: Este incidente comprometeu milhares de organizações ao redor do mundo, incluindo agências governamentais dos EUA. O ataque foi realizado através de uma atualização maliciosa de software, demonstrando a capacidade do APT29 de infiltrar-se em sistemas amplamente utilizados.
Invasão ao Comitê Nacional Democrata (DNC): Durante as eleições presidenciais dos EUA em 2016, o APT29 conseguiu acessar e-mails e documentos internos do DNC, que foram posteriormente vazados, impactando significativamente o cenário político.
Ataques a Diplomatas na Europa e África: O grupo tem consistentemente visado diplomatas e organizações políticas, utilizando técnicas de spear-phishing e exploração de vulnerabilidades para obter informações sensíveis e influenciar decisões políticas.
Esses exemplos ressaltam a necessidade de medidas de segurança robustas para proteger informações críticas contra ameaças avançadas como o APT29.
Conclusão
O APT29 representa uma ameaça sofisticada e persistente, utilizando técnicas avançadas para comprometer sistemas e roubar informações sensíveis. Compreender suas táticas e implementar medidas de mitigação eficazes é crucial para proteger organizações contra esses ataques. A adoção de uma arquitetura de confiança zero, juntamente com práticas de segurança cibernética robustas, pode ajudar a minimizar o impacto de futuras incursões.
#APT29, #ciberataques, #phishing, #RDP, #segurança, #cryptoalch
Fonte inicial