A nova ferramenta utilizada por hackers Sandworm da Rússia promete abalar as estruturas, conforme indica a inteligência ocidental. De acordo com agências norte-americanas e britânicas, os terroristas cibernéticos russos estão utilizando essa novidade para invasão da Ucrânia.
Na quarta-feira (23), o Centro Nacional de Segurança Cibernética do Reino Unido e a Agência de Segurança Cibernética e Infraestrutura dos EUA divulgaram alertas alertando que eles – junto com o FBI e a NSA – detectaram uma nova forma de malware de dispositivo de rede sendo usado pelo Sandworm, um grupo vinculado a alguns dos os ataques cibernéticos mais destrutivos da história e acredita-se ser parte da agência de inteligência militar GRU da Rússia .
O novo malware, que as agências chamam de Cyclops Blink, foi encontrado em dispositivos de firewall vendidos pela empresa de hardware de rede Watchguard desde pelo menos junho de 2019. Mas o NCSC alerta que “é provável que o Sandworm seja capaz de compilar o malware para outras arquiteturas. e firmware”, que pode já ter infectado outros roteadores de rede comuns usados em residências e empresas, e que a “implantação do malware também parece indiscriminada e generalizada”.
Ainda não está claro se o Sandworm está invadindo dispositivos de rede para fins de espionagem, construindo sua rede de máquinas invadidas para usar como infraestrutura de comunicação para operações futuras ou visando redes para ataques cibernéticos disruptivos, diz Joe Slowik, pesquisador de segurança da Gigamon e há muito tempo rastreador do grupo Sandworm. Mas dado que a história passada de Sandworm de infligir caos digital inclui a destruição de redes inteiras dentro de empresas e agências governamentais ucranianas, provocando apagões ao atingir concessionárias de energia elétrica na Ucrânia e liberando o malware NotPetyalá que se espalham globalmente e custam US$ 10 bilhões em danos, Slowik diz que mesmo uma ação ambígua dos hackers merece cautela – particularmente quando outra invasão russa da Ucrânia se aproxima.
“Definitivamente parece que o Sandworm continuou o caminho de comprometer redes relativamente grandes desses dispositivos para propósitos desconhecidos”, diz Slowik. “Existem várias opções disponíveis para eles e, como é Sandworm, algumas dessas opções podem ser preocupantes e sangrar em negar, degradar, interromper e potencialmente destruir, embora ainda não haja evidências disso.”
A CISA e o NCSC descrevem o malware Cyclops Blink como um sucessor de uma ferramenta Sandworm anterior conhecida como VPNFilter , que infectou meio milhão de roteadores para formar uma botnet global antes de ser identificada pela Cisco e pelo FBI em 2018 e amplamente desmantelada. Não há sinal de que Sandworm tenha assumido o controle de quase tantos dispositivos com o Cyclops Blink. Mas, como o VPNFilter, o novo malware serve como um ponto de apoio em dispositivos de rede e permitiria que os hackers baixassem novas funcionalidades para máquinas infectadas, seja para recrutá-los como proxies para retransmitir comunicações de comando e controle ou direcionar as redes onde os dispositivos estão instalados.
Em sua própria análise do malware, a Watchguard escreve que os hackers conseguiram infectar seus dispositivos por meio de uma vulnerabilidade corrigida em uma atualização de maio de 2021, que mesmo antes disso só oferecia uma abertura quando uma interface de controle para os dispositivos fosse exposta a a Internet. Os hackers também parecem ter usado uma vulnerabilidade na forma como os dispositivos Watchguard verificam a legitimidade das atualizações de firmware, baixando seu próprio firmware para os dispositivos de firewall e instalando-o para que seu malware possa sobreviver a reinicializações. A Watchguard estima que cerca de 1% de seu número total de firewalls instalados foram infectados, embora não tenha dado um número total de quantos dispositivos representavam. Watchguard também lançou ferramentas para detectar infecçõesem seus firewalls e, se necessário, limpe e reinstale seu software.
O NCSC observa em seu site que seu aviso sobre o Cyclops Blink “não está diretamente ligado à situação na Ucrânia”. Mas mesmo sem uma ligação imediata com o conflito que se desenrola na região, os sinais de que os hackers GRU hiper-agressivos da Rússia construíram uma nova botnet de dispositivos de rede servem como um alerta oportuno. Na semana passada, funcionários da Casa Branca alertaram que uma série de ataques distribuídos de negação de serviço que atingiram o governo ucraniano, militares e redes corporativas foram obra do GRU . Uma nova rodada desses ataques DDoS contra alvos ucranianos começou novamente na quarta-feira, juntamente com o malware de limpeza de dados que a empresa de segurança ESET dizfoi instalado em “centenas de máquinas” no país. E no mês passado, uma campanha de ransomware falso atingiu as redes ucranianas, com semelhanças preocupantes com o ataque cibernético NotPetya de Sandworm em 2017 , que se apresentou como ransomware ao encerrar centenas de redes na Ucrânia e em todo o mundo. À medida que a Rússia cercou as fronteiras da Ucrânia com tropas e declarou a independência de dois grupos separatistas dentro do território ucraniano, aumentaram os temores de que novos ataques cibernéticos em grande escala acompanharão qualquer invasão física .
Isso significa que os administradores de rede – e até mesmo usuários domésticos de dispositivos Watchguard – devem procurar sinais do Cyclops Blink em seus dispositivos e lidar com qualquer infecção imediatamente, mesmo que isso signifique tirá-los da rede, argumenta Craig Williams, ex-pesquisador de segurança da Cisco que trabalhou na investigação VPNFilter. “Identifique dispositivos comprometidos e desconecte-os”, escreveu ele no Twitter na quarta-feira. “Ajude a parar as armas cibernéticas russas.”
Mesmo que aquela caixa infectada em seu armário de servidores não esteja mirando em sua rede, em outras palavras, ela pode estar permitindo um caos digital direcionado a outra pessoa, do outro lado do mundo.
Leia também: Segurança na Black Friday: como proteger seu e-commerce dos hackers
Fonte: Wired