Os indivíduos mal-intencionados que estão realizando ataques de ameaças persistentes avançadas (APT) não têm apenas interesse em invadir sua rede. Eles buscam permanecer nela, com o objetivo de obter informações importantes ou elaborar estratégias para futuros ataques.
As ameaças após a violação estão aumentando, principalmente visando a infraestrutura de rede envelhecida e dispositivos de borda que estão em estágios avançados de vida e podem possuir vulnerabilidades críticas não exploradas, de acordo com Nick Biasini, líder de divulgação no Talos, braço de pesquisa de segurança da Cisco. Biasini afirmou que essas ameaças são generalizadas, porém os dispositivos legados mais antigos apresentam maior risco de acesso, sobretudo se estiverem sem suporte e sem atualizações há três ou quatro anos.
Durante um longo período, as empresas adotaram uma postura de não interferência em relação aos dispositivos de borda, seguindo uma abordagem do tipo “não mexa nele, deixe-o operar como está e continue funcionando”, de acordo com Biasini. Ter um dispositivo de borda em operação por dois ou três anos era considerado um símbolo de prestígio. No entanto, atualmente, isso representa uma responsabilidade significativa que as organizações devem realmente administrar com atenção, conforme ressaltado por Biasini.
“Há diversas vulnerabilidades extras e potenciais caminhos para invasores nesses dispositivos”, afirmou Biasini, destacando que, com a instalação de dispositivos de borda recentes com firmware atualizado, a área de exposição será reduzida. Ele observou que é comum observar indivíduos mal-intencionados explorando esses dispositivos mais antigos.
Quando os dispositivos mais antigos não são seguros e a infraestrutura de rede não é integrada à segurança, fica cada vez mais desafiador detectar tentativas de acesso à rede, de acordo com Hazel Burton, da Cisco. Em um blog, Burton descreve que os adversários, especialmente os APTs, estão se aproveitando dessa situação para realizar atividades ocultas após obter acesso à rede, buscando ocultar suas ações e obter dados e inteligência para espionagem ou objetivos disruptivos. O objetivo é ter uma visão mais ampla e esconder suas atividades para atingir seus objetivos.
Biasini mencionou que há dois grupos principais de agentes mal-intencionados que miram a infraestrutura de rede: atacantes apoiados pelo governo e organizações criminosas. Ele explicou que os grupos apoiados pelo governo buscam esses dispositivos principalmente para obter suporte em atividades de espionagem, visando manter o acesso por um longo período de tempo.
As organizações criminosas têm um objetivo distinto; geralmente visam dispositivos de borda mais antigos para obter um ponto de apoio inicial e, em seguida, infiltram-se rapidamente na rede para tentar extorquir suas vítimas. Segundo Biasini, ao adotar uma abordagem de cartel de ransomware e extorsão, não há muita utilidade em permanecer apenas nos dispositivos de borda. No entanto, ao usar esses dispositivos para se infiltrar na rede e, posteriormente, lançar um ataque ransomware em grande escala, isso se torna extremamente vantajoso para eles.
O Talos da Cisco identificou as três estratégias mais frequentemente observadas após uma violação na infraestrutura de rede.
Reformulação: 1. Alterar firmware. Segundo Burton, a empresa Talos identificou que grupos de APTs estão alterando o firmware de dispositivos de rede mais antigos para incluir novas funcionalidades, visando aumentar seu alcance na rede. Isso envolve a inserção de implantes ou a modificação da forma como o dispositivo coleta dados.
Uma situação ilustrativa é a descoberta recente de vulnerabilidades na Interface de Gerenciamento Web do Software Cisco IOS XE. Durante um ataque, foi utilizado um implante chamado ‘BadCandy’, que consistia em um arquivo de configuração denominado ‘cisco_service.conf’. Esse arquivo foi responsável por estabelecer um novo ponto de extremidade do servidor web (caminho de URI) para a interação com o implante. Através desse ponto de extremidade, certos parâmetros foram inseridos, permitindo que o invasor executasse comandos arbitrários no sistema ou nível IOS.
Segundo Burton, comparar as configurações no firmware pode ser útil para identificar alterações feitas por um possível adversário.
Paráfrase: Carregar um firmware personalizado ou modificado pode permitir que os adversários acessem níveis adicionais de um dispositivo ao explorar vulnerabilidades, possibilitando a modificação da funcionalidade do dispositivo para exfiltrar dados.
Se ao analisar seus registros você perceber que alguém realmente desativou o registro, isso indica claramente que sua rede foi invadida e possivelmente comprometida.
Reverter ou eliminar medidas de segurança. “Talos também observou agentes de ameaças tomando ações para contornar qualquer obstáculo que impeça seu acesso para alcançar seus objetivos. Por exemplo, se desejam extrair dados, mas encontram uma lista de controle de acesso (ACL) que impede o acesso ao host, podem alterar a ACL ou removê-la da interface. Ou ainda podem instalar um software operacional que ignore a aplicação de ACLs em determinados endereços IP do agente, independentemente da configuração”, conforme escrito por Burton.
A campanha BadCandy ilustra como um invasor pode eliminar medidas de segurança. De acordo com Burton, o adversário conseguiu criar servidores em miniatura dentro de sistemas comprometidos, estabelecendo assim uma base de operações. Isso possibilitou que os invasores interceptassem e redirecionassem tráfego, além de manipularem contas de usuário. Mesmo após reiniciar o dispositivo e limpar a memória ativa, o invasor mantinha contas persistentes, o que equivalia a uma porta traseira constante.
Sugestões da Cisco Talos para serem seguidas.
Uma forma pela qual a Cisco e outras empresas estão enfrentando os ataques à infraestrutura de rede e outros desafios de segurança é por meio da Coalizão de Resiliência de Rede, um grupo da indústria formado no verão passado. A Coalizão inclui empresas como AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon e VMware. O grupo divulgou um conjunto de diretrizes para fornecedores e usuários, com o objetivo de auxiliá-los a enfrentar as ameaças de segurança provenientes da infraestrutura de rede obsoleta.
De acordo com o blog Talos, algumas das orientações da Coalition são resumidas da seguinte forma:
• Harmonizar as estratégias de criação de software com o Quadro de Desenvolvimento de Software Seguro (SSDF) do NIST.
• Oferecer informações precisas e resumidas sobre o produto em seu final de vida, abrangendo períodos de tempo específicos e especificando os níveis de suporte disponíveis para cada fase.
Recomenda-se manter as correções de segurança críticas separadas das novas funcionalidades do produto ou alterações de funcionalidade, ao disponibilizá-las para os clientes.
Aprimorar a atenção à segurança cibernética, como a verificação de vulnerabilidades e o gerenciamento de configuração, em produtos antigos que não estão mais recebendo suporte.
De tempos em tempos, verifique se a configuração do produto está de acordo com as orientações do fornecedor, aumentando a frequência à medida que o produto envelhece, e certifique-se de aplicar atualizações e correções de forma oportuna.
O texto sugere que as organizações devem adotar medidas como a criação de senhas complexas e compartilhadas, a utilização de SNMPv3 ou versões mais recentes, a implementação de autenticação multifatorial sempre que possível, e a obrigatoriedade de criptografia ao configurar e monitorar dispositivos.
