HomeNotíciasGeralCaça aos APTs: um ataque de 20 anos que continua em destaque

Caça aos APTs: um ataque de 20 anos que continua em destaque

 

Caça aos APTs: um ataque de 20 anos que continua em destaque

·        Investigadores da Kaspersky Lab e do Kings College London, à procura de uma ligação entre um protagonista de uma ameaça moderna e os ataques Moonlight Maze que atacaram o Pentágono, a NASA e outros durante a década de 90, descobriram amostras, registos e artefactos pertencentes ao antigo APT

 ·        Descoberta mostra que um backdoor utilizado em 1998 pelo Moonlight Maze para retirar informação da rede das vítimas está ligado a um backdoor utilizado pela Turla em 2011 e possivelmente a recentes acontecimentos em 2017

 ·        Se uma ligação entre Turla e Moonlight Maze se provar, colocaria o protagonista da ameaça em evolução ao lado do Equation Group em termos de longevidade, já que alguns dos serviços de controlo e comando datam de 1996

 

Os investigadores da Kaspersky Lab e do Kings College London, em busca de uma ligação entre um protagonista de uma ameaça moderna e os ataques Moonlight Maze que atacaram o Pentágono, a NASA e outros durante a década de 90, descobriram amostras, registos e artefactos pertencentes ao histórico APT. Esta descoberta mostra que um backdoor utilizado em 1998 pelo Moonlight Maze para retirar informação da rede das vítimas está ligado a um backdoor utilizado pela Turla em 2011 e possivelmente a recentes acontecimentos em 2017. Se uma ligação entre Turla e Moonlight Maze se provar, colocaria o protagonista da ameaça em evolução ao lado do Equation Group em termos de longevidade, já que alguns dos serviços de controlo e comando datam de 1996.

 

Os relatórios contemporâneos do Moonlight Maze mostram como, desde 1996, o exército dos EUA e as redes do governo, bem como as universidades, instituições de investigação e até o Departamento de Energia começaram a detetar quebras nos seus sistemas. Em 1998, o FBI e o Departamento de Defesa lançaram uma investigação massiva. A história tornou-se pública em 1999, mas muitas das provas mantiveram-se confidenciais, deixando os detalhes do Moonlight Maze envolvidos em mitos e segredos.

 

Com o passar dos anos, os investigadores originais de três países distintos afirmaram que o Moonlight Maze se desenvolveu para o Turla, um protagonista de uma ameaça russa também conhecido como Snake, Uroburos, Venomous Bear e Krypton. Acredita-se que o Turla esteja ativo desde 2007.

 

 

 

As “Amostras Guardadas”

 

Em 2016, enquanto fazia uma investigação para o seu livro, Rise of the Machines, Thomas Rid do Kings College London localizou um sistema administrador antigo cujo servidor da organização tinha sido desviado como proxy pelos hackers do Moonlight Maze. Este servidor, “HR Test”, tinha sido utilizado para lançar ataques contra os EUA. O agora reformado profissional de IT tinha guardado o servidor original e cópias de tudo o que estava relacionado com os ataques, tendo agora entregado ao Kings College e à Kaspersky Lab para análises futuras.

 

Os investigadores da Kaspersky Lab, Juan Andres Guerrero-Saade e Costin Raiu, juntamente com Thomas Rid e Danny Moore do Kings College, passaram nove meses a realizar uma análise técnica e detalhada destas amostras. Reconstruíram as operações, ferramentas e técnicas dos hackers e conduziram uma investigação paralela para verificar se conseguiam provar a alegada ligação com Turla.

 

O Moonlight Maze era um ataque open-source e Unix-based direcionado para os sistemas Solaris, e as descobertas mostraram que talvez usasse um backdoor baseado no LOKI2 (um programa lançado em 1996 que permite aos utilizadores a extração de dados através de canais ilegais). Isto fez com que os investigadores olhassem uma segunda vez para algumas amostras Linux raras utilizadas pelo Turla que a Kaspersky Lab descobriu em 2014. Chamado Penquin Turla, estas amostras estão também baseadas no LOKI2. Mais: a reanálise mostrou que todos utilizavam um código criado entre 1999 e 2004. 

 

Surpreendentemente, este código continua a ser utilizado nos ataques. Foi localizado em 2011 quando foi encontrado num ataque no organismo de defesa Ruag na Suiça que foi atribuído ao Turla. Depois, em março de 2017, os investigadores da Kaspersky Lab descobriram uma nova amostra do backdoor Penquin Turla submetida de um sistema da Alemanha. É possível que o Turla utilize o antigo código para ataques a entidades de elevada segurança que possam ser mais difíceis de quebrar através da utilização do conjunto de ferramentas standard do Windows.

 

“No final da década de 90, ninguém previu o alcance e persistência de uma campanha coordenada de ciberespionagem. Precisamos de nos perguntar o porquê de os hackers continuarem a potenciar ataques atuais com códigos antigos. A análise do Moonlight Maze não é apenas um estudo arqueológico fascinante; é também um alerta de que os adversários com bons recursos não vão desaparecer, compete-nos a nós defender os sistemas com as competências apropriadas,” afirma Juan Andres Guerrero-Saade, Investigador de Segurança Sénior, Investigador Global e Membro da Equipa de Análise (GREAT) da Kaspersky Lab.

 

A nova descoberta dos ficheiros do Moonlight Maze mostram vários detalhes fascinantes sobre como os ataques eram conduzidos pelos hackers através da utilização de redes complexas de proxies, e elevados níveis de habilidade e ferramentas. Mais informação sobre a sequência e tipologia do ataque pode ser encontrada aqui

 
 

 

 

doc icon 170403-Caça-aos-APTs-um-ataque-de-20-anos-que-continua-em-destaque-PT.docx