Raspberry Pi na detecção de malware através de ondas eletromagnéticas

Raspberry Pi 4 Model B

Um grupo de pesquisadores, junto ao Instituto de Pesquisa de Ciência da Computação e Sistemas Randômicos da França, desenvolveu uma nova forma de detecção de malware que não requer que softwares adicionais sejam instalados nos sistemas alvo.

Para isso, eles criaram um sistema baseado em um Raspberry Pi, capaz de escanear as ondas eletromagnéticas emitidas por um dispositivo, utilizando para tal medição um osciloscópio e uma sonda para campos eletromagnéticos. Ondas específicas podem indicar a presença de malware no dispositivo avaliado, permitindo obter o conhecimento preciso sobre o tipo e a identidade do malware.

Para a obtenção dos resultados, os pesquisadores “gravaram” 100.000 registros de leitura, a partir de um dispositivo IoT infectado por vários exemplos de malware, bem como de atividades normais e inofensivas, que utilizam para as comparações e detecções.

O que mais impressiona no método, é o fato de que o modelo criado não requer modificação do dispositivo alvo, ou qualquer interação para a identificação de possíveis comprometimentos, além da possibilidade de escanear suas ondas eletromagnéticas.

Por não necessária a instalação de software adicional no dispositivo a ser avaliado, quaisquer técnicas de ofuscação empregadas por criadores de malware simplesmente não funcionam e, na verdade, essas técnicas também podem ser detectadas e analisadas. Como resultado, o sistema demonstrou eficácia na detecção de malwares, atingindo 99,82% de precisão, comprovando ser de grande valor para os analistas de segurança.

Também passa a oferecer um desafio maior para os criadores de malware, que terão de descobrir como ocultar seu código malicioso de um scanner eletromagnético, sem poder denunciar sua presença nos sistemas infectados.

Mais um exemplo de versatilidade na utilização para os mini computadores Raspberry Pi. Para maiores detalhes, acessem a reportagem original no site tom’sHARDWARE.

Polícia Ucraniana prende dois grupos de cibercriminosos

Dois grupos de cibercriminosos foram presos esta semana, envolvidos em ataques DDoS contra agências de notícias e desvio de dinheiro em contas bancárias de cidadãos ucranianos.

De acordo com as autoridades, um dos grupos de criminosos infectaram computadores com um malware do tipo trojan, depois de escanear endereços vulneráveis na Internet, obtendo acesso e controle remoto total sobre estes ativos.

Após o comprometimento, foram habilitados keyloggers nestes sistemas, permitindo que os atacantes coletassem credenciais bancárias das vítimas, e desviassem o equivalente a 178 mil dólares em fundos, ou criptomoedas. Como as operações ocorreram durante o dia, e com a utilização de credenciais legítimas, as instituições bancárias não perceberam a atividade criminosa.

Os quatro acusados, na faixa etária entre 26 e 30 anos de idade, enfrentarão indiciamentos pela infração de diversos artigos do Código Penal da Ucrânia, incluindo o roubo e interferência no funcionamento de computadores, sistemas automatizados, redes de computadores ou redes de telecomunicações.

Outra dupla de cibercriminosos foi detida por suspeita de conduzir ataques DDoS contra diversos recursos críticos ucranianos, incluindo sites de notícias na cidade de Mariupol, e outras instituições educacionais do Estado.

De acordo com o comunicado das forças policiais, os dois acusados desenvolveram ferramentas que foram usadas para enviar centenas de consultas automáticas para os alvos em questão, eventualmente exaurindo seus recursos computacionais e os deixando indisponíveis. Na faixa entre 21 e 22 anos, ambos podem ser condenados a até 6 anos de prisão.

O artigo original, em inglês, pode ser conferido através deste link.

Um laptop comprometido é o suficiente para derrubar todas as defesas

Pelo menos é o que a empresa de segurança cibernética, Crowdstrike, demonstrou em um dos casos detalhados em seu relatório Cyber Intrusion Services Casebook 2018, e que vem nos lembrar o quanto é importante mantermos em mente que dispositivos móveis, sejam eles corporativos ou particulares, devem receber cuidado especial quando tentarem se conectar às redes internas.

Tudo começou quando um dos colaboradores de uma grande empresa de vestuário, de posse de um dos laptops corporativos, resolveu clicar em um link de email de um dos parceiros comerciais da referida companhia. As empresas citadas tiveram suas identidades preservadas.

Não haveria nada demais nesta ação, a não ser que o referido equipamento contasse com proteções apenas quando estivesse dentro dos limites da rede interna, algo que não era o caso no momento, visto que o colaborador estava acessando a Internet a partir de uma cafeteria, e que o link constante no citado email não fosse um phishing, que redirecionaria este mesmo colaborador para um site previamente comprometido.

Os pesquisadores da Crowdstrike relataram que o referido site havia sido afetado por vulnerabilidades relativas a gerenciadores de conteúdo como WordPress e Joomla, e que foi vítima de uma campanha envolvendo engenharia social e malwares, conhecida como FakeUpdates.

A mecânica do ataque consistia em que o visitante fosse enganado para acreditar que seu navegador web precisava de atualização, o que permitia aos criminosos a instalarem trojans e ferramentas de controle no equipamento da vítima.

Quando retornou para o ambiente corporativo, o laptop passou a servir como porta de entrada para que os atacantes iniciassem o comprometimento da rede, permitindo que estes acessassem dezenas de sistemas, que puderam ser afetados através da utilização das permissões de usuário da vítima.

A partir daí se iniciou a coleta de credenciais privilegiadas, e a obtenção de acesso a servidores, com o ataque se entranhando ainda mais na rede corporativa. Privilégios de administrador local facilitaram as ações dos criminosos, permitindo que estes obtivessem controle do domínio, e deixando a companhia completamente exposta. Os atacantes infectaram o servidor da loja de varejo, com o intuito de coletar dados de cartões de crédito.

Os pesquisadores identificaram um grupo de criminosos cibernéticos chamado Indrik Spider como sendo os autores do ataque, cujas operações remontam a 2014, e que se suspeita ter rendido milhões de dólares aos atacantes.

O relatório não esclareceu se o objetivo do ataque foi alcançado, e se dados de cartões de crédito foram coletados da companhia. Porém nos faz refletir nas políticas de segurança aplicadas nas empresas, nos mecanismos implantados para impor estas políticas, e no comprometimento da alta direção na imposição destas políticas.

Recursos de segurança, como endpoints, antivírus e firewalls, devem ser providos para proteger os equipamentos corporativos quando fora do perímetro das redes da empresa.

Por mais que o dispositivo móvel tivesse sido comprometido no exterior da companhia, mecanismos de regulação de acesso como um NAC (Network Access Control), vinculados a recursos de sanitização de equipamentos, e segregação de redes, poderiam ter evitado a contaminação da rede interna através do isolamento e desinfecção do dispositivo.

A utilização de credenciais com privilégios de administrador local também deve ser restrita ao mínimo de pessoal necessário, e visando apenas atender a demandas específicas.

Políticas para BYOD (Bring Your Own Device) devem ser cuidadosamente desenhadas, visando garantir que os dispositivos atendam a requisitos mínimos de segurança, antes que possam obter acesso à rede interna e, ainda assim, restringir este acesso ao mínimo de recursos necessários.

Estas e outras formas de proteção devem ser empregadas, visando elevar o quanto possível os níveis de segurança dos ativos envolvidos, mitigando os riscos a que estes são expostos diariamente, devendo, portanto, ser avaliadas e aplicadas de acordo com o perfil de cada empresa, bem como considerando os recursos e alternativas disponíveis para estas implementações.

Para acessarem ao artigo original, em inglês, dirija-se ao site da ZDNet.