Chloe Chamberland é analista de ameaças e membro da Equipe de inteligência de ameaças do Wordfence. Ela possui as seguintes certificações: OSCP, OSWP, OSWE, Security +, CySA +, PenTest +, CASP +, SSCP, Associate of (ISC) 2, CEH, ECSA e eWPT. Muitos deles são certificações avançadas, incluindo OSCP e OSWE, que são exames de 24 e 48 horas, respectivamente, que exigem habilidades práticas de hacking para serem aprovados.

Chloe trabalha em tempo integral no Wordfence para identificar e fazer engenharia reversa das ameaças emergentes do WordPress. Ela trabalha em estreita colaboração com os fornecedores para corrigir as vulnerabilidades que eles possuem, desenvolve regras de firewall para o Wordfence e publica sua pesquisa aqui, uma vez que o software afetado foi corrigido pelo fornecedor.

No artigo abaixo, Chloe descreve como os analistas de ameaças e a indústria pensam sobre atribuição. Ela descreve os desafios associados à atribuição e se a atribuição é útil. Chloe também discute vários tipos de agentes de ameaça e, em seguida, mergulha no hack do SolarWinds e atribui probabilidades a cada tipo de ator de ameaça com base no que sabemos sobre o hack. Você pode seguir Chloe no Twitter @infosecchloe .

O hack SolarWinds Orion é um dos hacks mais sofisticados que vimos em muito tempo e, sem dúvida, um dos hacks mais significativos em anos. Claro, uma das maiores dúvidas dos analistas de segurança é quem é o responsável.

O processo de identificação do ator da ameaça em um incidente de segurança é conhecido como atribuição, pois determinamos o que ou quem causou a ocorrência do incidente. Freqüentemente, há debate no mundo da segurança sobre atribuição. É útil conhecer o ator da ameaça? Ou é uma distração desnecessária quando uma resposta intensa a incidentes está em andamento?

Ao determinar a atribuição, os profissionais de segurança identificam os riscos operacionais. Simplificando, a motivação de um ator de ameaça é extremamente importante ao determinar que parte de um negócio está em risco. Se uma organização não entende os atores por trás de um ataque, eles podem correr o risco de uma remediação ineficaz ou ineficiente.

Antes de determinarmos a atribuição, precisamos entender quais tipos de ameaças existem e do que são capazes. Depois de entender esses princípios básicos, é mais fácil entender quem pode ser responsável com base nos fatos.

Neste artigo, esperamos identificar classificações comuns de agentes de ameaças para que seu planejamento de resposta a incidentes seja informado, completo e cuidadoso.

Classificações mais comuns de atores de ameaças

Script Kiddies

Script Kiddies são considerados os menos habilidosos entre os grupos de atores de ameaças. Sua motivação é principalmente egoísta e gira em torno do direito de se gabar. Esse grupo de atores de ameaças é conhecido como script kiddies, pois eles costumam usar cegamente scripts desenvolvidos por outros pesquisadores de segurança sem conhecimento de como esses scripts realmente funcionam. Eles também podem desenvolver seus próprios scripts, no entanto, provavelmente serão muito simples e pode haver uma aparente falta de sofisticação nos scripts que desenvolvem.

Um resultado comum de um ataque que você veria em um script kiddie é a desfiguração de um site, que altera a aparência física de um site com uma nova “cara”. As páginas de apagamento geralmente contêm slogans como”Hacked by XXX”, que destaca o fato de que a principal motivação é o direito de se gabar.

O principal indicador de que um ator de ameaça é um script kiddie é que ele teve sucesso na invasão inicial e fez algumas mudanças óbvias, mas não há muitas evidências de que o ataque escalou além desse ponto inicial.

Como isso pode se relacionar com o WordPress?

No WordPress, um script kiddie pode tentar invadir sites usando exploits pré-criados projetados para tirar proveito de vulnerabilidades de plugins conhecidas, ou até mesmo desenvolver seus próprios scripts, já que a maioria das vulnerabilidades do WordPress são bastante triviais de explorar. Outro ataque que você pode encontrar de um script kiddie visando instalações do WordPress é um ataque de força bruta devido à sua simplicidade. Depois de obterem acesso ao seu site por meio de um ataque de força bruta bem-sucedido, eles podem desfigurar facilmente o site e seguir em frente.

Ameaças internas (mal-intencionadas ou não)

Uma ameaça interna pode ser o resultado de intenção maliciosa ou simplesmente resultar em erro humano. Independentemente da causa, uma ameaça interna é o resultado de alguém dentro de uma empresa, como um funcionário, que conduz um ataque ou desencadeia um incidente de segurança. Ameaças internas podem ser sofisticadas e podem passar despercebidas por um longo período de tempo se controles como segregação de tarefas, rotação de tarefas e férias obrigatórias não estiverem em vigor. Ameaças internas também podem ser acidentais, por isso é importante ter um treinamento de conscientização de segurança adequado, juntamente com políticas de segurança com as quais os funcionários devem concordar.

Um resultado comum de uma ameaça interna acidental pode ser um ataque DoS devido a uma simples configuração incorreta de uma parte do software. Outra possibilidade é que o acesso seja concedido a redes internas devido a um funcionário ser vítima de um ataque de engenharia social. As possibilidades aqui são infinitas.

Embora uma ameaça interna intencional e mal-intencionada possa assumir várias formas, provavelmente resultaria no vazamento de dados confidenciais durante um período de tempo ou na modificação dos sistemas para ganho pessoal.

O principal indicador de que um agente de ameaça é um insider é que há um nível claro de conhecimento sobre como qualquer sistema interno funciona ou há evidências forenses que indicam que o incidente ocorreu por meio de acesso interno que só poderia ser concedido por alguém no interior.

Como isso pode se relacionar com o WordPress?

No WordPress, você pode enfrentar uma ameaça interna com o desenvolvedor de um site. Talvez você tenha concedido acesso ao seu site WordPress a um desenvolvedor e estabelecido um relacionamento. Este desenvolvedor tem trabalhado em seu site por anos, e você confia que ele fará o que você pede. No entanto, o tempo todo, eles podem ter colocado links de spam de SEO em seu site durante cada projeto de desenvolvimento. Isso seria considerado uma ameaça interna que está alterando a integridade do seu site. Isso pode facilmente passar despercebido devido à confiança entre você e o desenvolvedor; no entanto, pode ter um impacto significativo no seu site WordPress ao longo do tempo.

Da mesma forma, um desenvolvedor pode economizar instalando versões pirateadas ou “anuladas” de plug-ins ou temas premium, que normalmente contêm backdoors. Se o desenvolvedor não estivesse ciente dos perigos, este seria um caso de ameaça interna por erro humano.

Hacktivistas

Este é um grupo de ameaça interessante em que sua principal motivação é divulgar as causas políticas e sociais. Esses atores de ameaças são frequentemente sofisticados e altamente qualificados, mas isso não é um requisito para ser considerado um hacktivista. Normalmente, não há benefício monetário ou ganho pessoal para os hacktivistas além de forçar sua agenda. Você já deve estar ciente de um dos grupos hacktivistas mais conhecidos, o Anonymous.

Provavelmente, você verá hacktivistas colocando sites off-line com ataques DDoS (negação de serviço distribuída), desfigurando sites com mensagens políticas ou sociais e”doxxing”indivíduos vazando informações incriminatórias ou confidenciais sobre eles.

Os principais indicadores de que um ator de ameaça é um hacktivista é que os resultados de um incidente de segurança parecem impulsionar uma agenda social ou política.

Como isso pode se relacionar com o WordPress?

Não é provável que o seu site WordPress seja tomado por hacktivistas, mas os hacktivistas costumam ter como alvo organizações que têm sites que executam o WordPress. Dessa forma, se você administra algum site político, é possível que seu site seja alvo de um hacktivista.

Cibercriminosos (crime organizado)

Atores de ameaças cibercriminosos são motivados principalmente por ganho pessoal, que normalmente é monetário. Eles geralmente têm um nível de habilidade relativamente alto e tentam permanecer anônimos, pois o que estão fazendo é altamente ilegal. Eles podem roubar informações confidenciais na esperança de vendê-las para o maior lance na dark web, vender ou alugar acesso a botnets ou roubar dinheiro diretamente da fonte.

Você provavelmente verá esse tipo de ator de ameaça se envolvendo em atividades cibernéticas ilegais que proporcionarão a eles algum tipo de ganho financeiro. Um exemplo disso seria alguém extraindo senhas de uma organização e, mais tarde, vendendo o despejo de senhas na dark web.

O principal indicador de que um ator de ameaça é um cibercriminoso é que parece haver algum benefício monetário nos resultados do ataque.

Como isso pode se relacionar com o WordPress?

Um dos principais motivadores por trás de hackear o WordPress seria o ganho monetário, portanto, é mais provável que a maioria dos ataques que você vê em seu site WordPress sejam de cibercriminosos. Muitas vezes vemos infecções em que os sites são redirecionados para sites farmacêuticos ou injetados com spam de SEO, que provavelmente é um serviço pago.

APTs (Ameaça Persistente Avançada)

Ameaças persistentes avançadas são o grupo de agentes de ameaças mais avançado e sofisticado que existe. Freqüentemente, eles demoram para realizar ataques na esperança de não serem detectados e tomarão várias medidas adicionais para garantir a persistência de um recurso comprometido. Na maioria das vezes, esses atores de ameaças são apoiados por Estados-nação que fornecem ajuda e apoio a esses grupos, ajudando-os a permanecer furtivos, persistentes e bem-sucedidos em seus objetivos.

Ataques de APTs geralmente resultam em espionagem, pois sua intenção é geralmente roubar dados confidenciais que podem ajudar os estados-nação pelos quais são apoiados.

Os principais indicadores de que um agente de ameaça é um APT são que o ataque parece sofisticado por natureza, havia um alto nível de dissimulação no hack e há evidências de que a persistência foi mantida ao longo do tempo.

Como isso pode se relacionar com o WordPress?

É improvável que você veja grupos APT segmentando sites WordPress, a menos que o site forneça a eles uma porta que lhes permitirá acesso adicional a uma rede restrita.

O que sabemos atualmente sobre o SolarWinds Orion Hack e o malware SUNBURST?

Ao explorar quem pode ter sido o ator da ameaça no ataque do SolarWinds Orion, existem alguns detalhes que nos dão uma compreensão do motivo do invasor. Esses fatos podem apontar para um possível ator de ameaça.

O que é SolarWinds Orion?

SolarWinds Orion é um sistema de gerenciamento de rede projetado para tornar o gerenciamento de redes corporativas mais contínuo, centralizando todo o gerenciamento de infraestrutura de rede em um único local. O software é desenvolvido em uma linguagem compilada, tornando mais difícil realizar revisões completas do código a cada atualização. Esta é uma distinção importante, pois significa que seria necessário algum nível de confiança para usar o SolarWinds Orion.

O que sabemos sobre as metas?

Sabemos que as cópias maliciosas do SolarWinds Orion foram implantadas para cerca de 18.000 clientes. A evidência indica que, após a infecção inicial, apenas clientes selecionados foram direcionados para o estágio dois do ataque, que consistia na exfiltração de dados. Isso incluiu agências governamentais como Departamentos do Tesouro, Estado, Comércio, Energia e Segurança Interna, além de corporações como Cisco, Microsoft, Cox Communications, VMware e FireEye.

A Microsoft também anunciou que notificou mais de 40 clientes cujas redes foram comprometidas na segunda fase do esquema de invasores. Isso incluiu 30 clientes dos Estados Unidos, bem como vítimas em 7 outros países: Canadá, México, Bélgica, Espanha, Reino Unido, Israel e Emirados Árabes Unidos.

Um relatório recente da FireEye, uma renomada empresa de pesquisa de segurança, declarou que o ator da ameaça que obteve acesso aos seus sistemas por meio da SolarWinds tinha como alvo informações de agências governamentais e ferramentas proprietárias. Isso indica que o invasor pode ter interesse em assuntos governamentais e informações secretas e possivelmente deseja usar essas informações para se infiltrar ainda mais nos sistemas.

O vetor de intrusão: onde foi plantado?

Atualmente, não temos muitas informações sobre como os atores da ameaça inicialmente obtiveram acesso à infraestrutura da SolarWinds para adicionar as atualizações maliciosas, no entanto, sabemos que o vetor de intrusão para as organizações afetadas por este ataque foram as atualizações maliciosas que foram enviado aos clientes em algum momento entre março de 2020 e junho de 2020.

Chamamos isso de um ataque à cadeia de suprimentos , que é a introdução de malware em um software confiável que as organizações provavelmente usarão devido à confiança depositada no fornecedor.

Podemos especular que os atores da ameaça provavelmente tinham um alto grau de acesso à rede e demoraram a desenvolver a atualização maliciosa. Este é certamente um ataque que levou muito tempo para se desenvolver e não foi detectado. Também há evidências que indicam que os invasores realizaram uma simulação ao enviar uma atualização em algum momento de 2019-isso indica que eles conseguiram entrar e queriam verificar se sua metodologia funcionava antes de qualquer desenvolvimento posterior e atualizações maliciosas.

O pesquisador de segurança Vinoth Kumar disse à Reuters que, no ano passado, alertou a empresa que qualquer pessoa poderia acessar o servidor de atualização da SolarWinds usando a senha “Solarwinds123”. Essa conta FTP poderia ter possibilitado que os invasores carregassem seus arquivos maliciosos, mantivessem a persistência nos sistemas da SolarWind e se articulassem ainda mais em todos os sistemas de desenvolvimento e arquitetura de construção da SolarWinds. Isso é, no entanto, especulativo. Não podemos identificá-lo definitivamente como o vetor de intrusão inicial.

O malware: como funciona?

O malware em si é muito inteligente. Depois que a atualização maliciosa foi enviada para um cliente, ela esperou inativa por 12-14 dias antes de fazer sua primeira chamada externa. O objetivo era evitar qualquer detecção nas primeiras duas semanas em que as organizações pudessem monitorar e testar a atualização do software.

A partir desse ponto, o malware faria uma triagem para determinar quem era o alvo e se era ou não viável. Provavelmente para priorizar quem os atacantes queriam alvejar no estágio dois de seu ataque. Se detectasse algum mecanismo de defesa e não conseguisse encerrar os processos defensivos, ele ativaria um killswitch e instruiria o shell do malware a não executar para evitar qualquer detecção.

O motivo: o que o invasor fez?

No momento em que este livro foi escrito, parecia que a maioria dos ataques eram tentativas de comprometer a confidencialidade dos dados por exfiltração. O ataque provavelmente tinha como objetivo obter informações sobre os alvos e recuperar dados, indicando que se tratava de um ataque baseado em espionagem. Atualmente, não há indicação de que a disponibilidade ou integridade dos dados tenha sido comprometida.

Com base no que sabemos, que conclusões podemos tirar sobre a atribuição?

Seria seguro dizer que o hack do SolarWinds foi causado por um grupo de indivíduos que tinham muito tempo, recursos e experiência em evasão de detecção. Podemos fazer algumas hipóteses e suposições sobre quem pode ter sido o responsável com base nas evidências que temos.

A teoria do motivo: exfiltrar dados confidenciais de sistemas importantes, incluindo agências governamentais e grandes corporações.

Era um Script Kiddie?

Nossa classificação de probabilidade: 0/10
Podemos dizer com muita segurança que este não foi o trabalho de um script kiddie. A campanha apresenta muita complexidade e sofisticação, com evidências de uma base muito sólida de conhecimento técnico, o que não é indicativo de um script kiddie e suas capacidades típicas. Não é necessária muita análise para dizer que este não é o trabalho de um script kiddie.

Era um hacktivista?

Nossa classificação de probabilidade: 3/10
Há uma chance muito pequena de que este seja o trabalho de um ator de ameaça hacktivista, mas, atualmente, não há evidências que indiquem que houve qualquer motivo social ou político. Os invasores estavam extraindo dados, que poderiam ter sido usados ​​para uma agenda social ou política, pois não sabemos exatamente quais dados estavam sendo exfiltrados. No entanto, dito isso, não parecia haver qualquer correlação social ou política com os dados que estavam sendo filtrados

Foi uma ameaça interna?

Nossa classificação de probabilidade: 5/10
No momento, não sabemos como o (s) ator (es) da ameaça violaram inicialmente o software SolarWinds Orion para introduzir o backdoor. Devido à sofisticação do ataque e à linha do tempo que temos, é plausível que alguém trabalhasse internamente, já que havia evidências claras de que os atores da ameaça sabiam como o software e o processo de assinatura funcionavam para atualizações.

Com isso dito, no entanto, a sofisticação do segundo estágio de ataques indica que isso provavelmente foi obra de vários indivíduos, portanto, embora seja possível que haja um insider malicioso que ajudou a fazer o trabalho, não pode ter sido obra de um único insider malicioso.

Também não é possível que isso tenha sido o resultado de uma ameaça interna com base em erro, além de problemas gerais com a postura de segurança da empresa.

Era um cibercriminoso?

Nossa classificação de probabilidade: 7/10
É bem possível que seja obra de um cibercriminoso ou grupo de cibercriminosos. Os dados que estão sendo exfiltrados no estágio dois podem ser considerados altamente valiosos e provavelmente um alvo principal para um grupo de criminosos tentando obter lucro. Além disso, o ator da ameaça empregou várias técnicas para tentar escapar da detecção, o que indica que o ator tinha uma intenção altamente criminosa.

Era um APT (ameaça persistente avançada)?

Nossa classificação de probabilidade: 10/10
Há evidências significativas que indicam que este é o trabalho de um APT. Não apenas os dados de que dispomos apontam para essa conclusão, mas também várias empresas respeitáveis ​​com dados em primeira mão da violação, como a FireEye, têm evidências significativas para apoiar isso. O malware era altamente complexo e projetado para evitar a detecção, o que é consistente com o trabalho dos APTs.

Em uma entrevista com Kevin Mandia, CEO da FireEye, ele afirmou que “os invasores criaram uma infraestrutura para atacar a FireEye que era totalmente exclusiva para atacar a FireEye. Isso exige muita manutenção. Isso requer muita coordenação. Isso é uma operação-não apenas um hack. “Isso significa que após o estágio inicial do comprometimento, que era a atualização contendo um backdoor, os invasores configuraram uma infraestrutura limpa inteira para atacar e exfiltrar dados apenas do FireEye, um dos muitos organizações que foram visadas no segundo estágio do ataque. Isso exige mão de obra e recursos significativos e indica que a ameaça é altamente avançada, com muitos recursos para atingir seu objetivo, pois eles podem ter configurado uma infraestrutura limpa para cada alvo em seu segundo estágio.

Além disso, há relatos de que os invasores estavam gerando tokens SAML em sistemas comprometidos para manter a persistência, o movimento lateral e exfiltrar dados dos sistemas comprometidos.

As APTs são frequentemente chamadas de atores de ameaças de estados-nação, pois normalmente são grupos apoiados por estados-nação e usados ​​para realizar espionagem. Devido às evidências das organizações que parecem ter sido alvejadas no segundo estágio de ataques, incluindo grandes corporações e agências federais, é altamente provável que tenha sido por o benefício de um estado-nação, que alguns acreditam ser a China ou a Rússia. Relatórios iniciais do Washington Post e do New York Times atribuíram o ataque ao ator ameaçador russo APT 29, ou “Urso Cosy”, embora isso não tenha sido confirmado até hoje, 24 de dezembro de 2020.

Conclusão

Na postagem de hoje, exploramos as diferentes classificações de agentes de ameaças e como elas se relacionam aos usuários do WordPress, bem como nos aprofundamos em quem pode ter sido o responsável pelo hack do SolarWinds Orion. Com todas as evidências que temos hoje, o hack SolarWinds Orion foi provavelmente o trabalho de uma ameaça persistente avançada (APT), no entanto, sem mais evidências, não podemos identificar definitivamente um APT conhecido. É possível que tenha sido a China, a Rússia ou outro grupo de hackers sofisticado com intenções de espionagem. A FireEye atribuiu a este ator de ameaça a designação UNC2452.

Os proprietários de sites WordPress podem não exigir defesas contra APTs estaduais. No entanto, compreender os motivos e os tipos de agentes de ameaças que visam sites WordPress pode informar quais ações você deve tomar se o seu site estiver sob ataque.

Esperamos ter fornecido a você informações suficientes hoje para que possa entender melhor quem pode ter sido o responsável por este ataque, bem como a importância da atribuição para qualquer planejamento ou execução de resposta a incidentes.