Aqui está o que sabemos sobre os ataques de pulverização de senha conduzidos por hackers iranianos

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

A crescente tensão entre o Irã e os EUA é compreensivelmente uma notícia de primeira página. A situação é extremamente complexa e ninguém sabe ao certo o que acontecerá a seguir. Por enquanto, as coisas são relativamente pacíficas, mas todos sabemos que certos dedos podem estar pairando sobre certos botões vermelhos, e só podemos esperar que o bom senso prevaleça no final. No entanto, é preciso dizer que, embora a tensão do mundo real possa aliviar on-line, é improvável que a troca de ataques entre o Irã e os EUA pare tão cedo.

Ontem, a Dragos Inc., uma equipe de segurança cibernética que se concentra na proteção de sistemas de controle industrial (ICS), publicou um relatório que detalha as atividades de onze grupos de hackers ligados ao Irã e, mais especificamente, seus ataques contra a rede elétrica dos EUA. Isso mostra que, embora eles tendem a não atrair muita atenção da mídia, os atores de ameaças apoiados pela nação atacam os ativos de ICS de outros países o tempo todo.

Apesar disso, deve-se dizer que as divergências do mundo real entre o Irã e os Estados Unidos tiveram um impacto nas atividades dos atores de ameaças. Os onze grupos de hackers discutidos no relatório de Dragos são conhecidos por atacar sistemas ICS em todo o mundo, mas os especialistas observaram que no ano passado, a maioria deles apontou seus olhos para os EUA e a infraestrutura crítica para gerar e distribuir eletricidade.

Nenhuma interrupção grave ainda

De acordo com o relatório, o primeiro ataque de malware conhecido que causou um apagão ocorreu em dezembro de 2015 na Ucrânia e, felizmente, existem poucas evidências para sugerir que os monitores das equipes iranianas Dragos estão montando o segundo. De fato, os grupos conseguiram se infiltrar nas redes de empresas responsáveis pelo fornecimento de eletricidade e extraíram alguns dados sensíveis. Nesse ponto, no entanto, eles ainda precisam chegar ao nível de acesso que lhes permitiria interromper o fornecimento de eletricidade para um grande número de famílias. Isso não significa que isso nunca possa acontecer.

Tenha em mente que não estamos falando de cibercriminosos autodidatas com uma propensão a moletons e máscaras de Guy Fawkes. Freqüentemente mencionadas Ameaças Persistentes Avançadas (APTs), as equipes de hackers patrocinadas pelo estado consistem em especialistas experientes que possuem recursos limitados para comprometer seus objetivos. Os especialistas de Dragos observaram que atingir com êxito uma seção vital da rede elétrica americana será extremamente difícil, mas os currículos dos grupos iranianos da APT discutidos no relatório sugerem que eles poderiam muito bem estar com um grito.

Eles fizeram seu nome atacando grandes organizações em todo o mundo, e a maioria de seus objetivos anteriores está trabalhando no setor de petróleo e gás - outra parte vital da economia mundial que gasta quantias significativas de dinheiro em segurança. Os atores de ameaças são conhecidos por usar ataques à cadeia de suprimentos para se infiltrar em uma rede e, uma vez dentro, costumam implantar ferramentas desenvolvidas sob medida, projetadas especificamente para o sistema ICS de destino. Às vezes, no entanto, não se trata apenas de sofisticação de ponta.

A pulverização de senha e as VPNs sem patch às vezes podem deixar a infraestrutura crítica exposta

Andy Greenberg, da Wired, também cobriu o relatório de Dragos, e ele se concentrou nas atividades de dois dos APTs - Magnallium e Parisite. Ao longo de 2019, as duas equipes trabalharam em conjunto para atacar várias empresas de serviços públicos de eletricidade e petróleo e gás nos EUA.

Para atingir seu objetivo, os membros do grupo parisiense exploraram vulnerabilidades em um cliente de rede virtual privada (VPN) sem nome usado por seus destinos. Magnallium, por outro lado, recorreu à pulverização de senha. Em um ataque de pulverização de senha, os hackers pegam o endereço de email de um usuário (neste caso, um funcionário de uma empresa de serviços públicos) e o usam em combinação com uma seleção de senhas simples e fáceis de adivinhar para tentar fazer login o sistema alvo. Como muitas pessoas usam senhas simples e fáceis de adivinhar, algumas das tentativas são bem-sucedidas.

O que é interessante sobre isso é que você não precisa ser um hacker sofisticado e patrocinado pelo Estado para explorar uma VPN vulnerável ou organizar um ataque de pulverização de senha. Na verdade, essas técnicas são bastante barulhentas e geralmente são reservadas aos imitadores de Guy Fawkes que usam capuz. No entanto, Parisite e Magnallium, dois APTs com muito dinheiro e recursos, decidiram usá-los. Por que eles fariam isso?

Porque eles acham que esses ataques serão bem-sucedidos. Este é um pensamento preocupante.

A menos que falemos de uma vulnerabilidade de dia zero, explorar uma VPN insegura significa que o usuário configurou incorretamente a rede ou negligenciou uma atualização de segurança. E quanto à pulverização de senhas, como já mencionamos, só é possível porque adivinhar as senhas das pessoas não é tão difícil quanto deveria ser. Em outras palavras, os APT iranianos estão apostando em pessoas que cometem erros simples de segurança. As pessoas em questão são responsáveis por partes vitais da rede elétrica dos EUA.

Isso deve acionar alguns alarmes para os responsáveis pelas organizações que provavelmente serão atacadas. Muito está em jogo, e a segurança (física e online) deve ser uma prioridade. É improvável interromper os ataques implacáveis de hackers apoiados pelo país, mas as pessoas responsáveis pela rede elétrica dos EUA podem pelo menos se livrar das frutas de baixo custo.

January 10, 2020

Deixe uma Resposta