Sabe aquele papo, “eu mudo a senha quando eu tiver um tempinho”, pode causar um problemão…
Uma senha pode causar um grande estrago?
A resposta é, pode!
E se você trabalha em algum órgão da área da segurança pública, acredito que seja interessante você redobrar sua atenção!
Uma equipe de analistas de inteligência teve acesso a informações consideradas sensíveis. Eles se depararam com um hacker de habilidade média tentando vender dados militares altamente confidenciais sobre blindados, drones, técnicas para reproduzir dispositivos explosivos improvisados (IEDs) e muito mais.
Vender segredos militares não é matéria fácil, já que o hacker tinha dúvidas sobre para quem vender esse tipo de informação, e quanto elas valiam.
A primeira tentativa de venda de documentos da Força Aérea e do Exército dos Estados Unidos foi em 1º de junho, enquanto os analistas monitoravam atividades criminosas na deep e dark web.
A equipe de investigação chegou a conclusão que o hacker vivia em “um país pobre da América do Sul”. E durante as conversas, ele culpou a conexão de internet lenta, que o impediu de baixar mais informações. Ansioso por uma venda rápida, ele se mostrou aberto a distribuir amostras aos analistas.
O hacker se comunicava em inglês e afirmou ter acesso aos manuais do MQ-9 Reaper – um drone “com alta tecnologia, capaz de identificar alvos e disparar um grande poder bélico para destruir alvos” que é considerado uma das mais avançadas e letais tecnologias militares dos últimos anos.
Também citou que dados sobre os carros de combate M1 Abrams, um curso de treinamento de pelotão de blindados, um curso de sobrevivência da tripulação e documentos relacionados às táticas de mitigação de IEDs.
Nas semanas que se seguiram à descoberta da tentativa de venda do hacker, os analistas disfarçados mantiveram a conversa em andamento. A equipe verificou que os produtos do hacker eram legítimos, conseguiram identificar o nome e país de residência de alguém associado a um grupo maior ao qual esse hacker fazia parte e como os documentos vazaram, através de uma vulnerabilidade no serviço de FTP nos roteadores da Netgear.
Esse vulnerabilidade seria o CVE-2016-582384 da Netgear, em dezembro de 2016.
A Netgear informou que o problema não teria acontecido se a senha tivesse sido alterada. Para mudar a senha são apenas 6 passos e que isso já teria efetivamente parado o ataque, mas com o usuário e senha padrão, a vulneralidade ficou mais evidente. Mas com o usuário admin e a senha da password (o by pass foi possível).
O hacker basicamente usou o Shodan para procurar por roteadores mal configurados que usam uma porta padrão 21. Depois que os invasores atingiram um alvo de alto perfil encontrado via Shodan, ele comprometeu um sistema e roubou arquivos, escalou privilégios e conseguiu explorar outros acessos laterais.
Dessa forma, o hacker entrou no computador de um capitão no 432d Esquadrão de Manutenção de Aeronaves Reaper AMU OIC, estacionado na base da Força Aérea de Creech, em Nevada. Ele roubou extraiu diversos documentos confidenciais, incluindo os livros do curso de manutenção do Reaper e a lista de pilotos designados para o Reaper AMU. Tais livros não são classificados por conta própria, mas os adversários podem usá-los como uma ferramenta para avaliar quaisquer fraquezas que equipamentos militares, como veículos aéreos não tripulados (UAVs) possam ter.
O hacker chamou a atenção dos analistas quando se registrou como novo membro de um fórum de hackers e tentou vender os documentos do drone MQ-9 Reaper.
Depois que ele colocou os documentos Reaper à venda, o hacker listou outro conjunto de documentos militares, mas desta vez, ele não revelou a fonte de sua descoberta. Dado o conteúdo mostrado pelo atacante, foram aparentemente roubadas do Pentágono ou do Exército.
Este segundo conjunto, continha mais de uma dúzia de manuais de treinamento sobre diversos temas como, IED, um manual de operação do tanque M1 Abrams, um manual de treinamento e sobrevivência da tripulação e táticas de pelotão de tanques. Novamente, os documentos não eram classificados, mas a maioria não deveria ser compartilhada com ninguém além de agências governamentais e contratadas.
Quando o atacante não estava usando sistemas militares com nível de segurança já comprometido por ele ou procurando computadores novos e vulneráveis para atacar, ele passava o tempo assistindo a cenas ao vivo e sensíveis de câmeras de vigilância de fronteira e aviões, disse o hacker a um dos analistas. Ele também se gabou de acessar imagens de um Predator MQ-1 voando sobre a Baía de Choctawhatchee, no Golfo do México: ele postou uma captura de tela capturada a partir das imagens de vídeo da aeronave.
O acesso do hacker foi encerrado quando a equipe de analistas alertou as autoridades dos EUA para as violações, após as informações esses computadores vulneráveis viraram alvo de investigação do Departamento de Segurança Interna (DHS).
As habilidades “acima dos amadores” do hacker deram aos pesquisadores a impressão de que ele poderia ter feito parte de um grupo maior, e houveram alguns indícios. Em outras palavras, o atacante parece ter recursos e conhecimento suficientes para explorar outros alvos dentro da rede, mas eram mais limitados.
Eu não diria que ele possuía habilidades excepcionais. Porém tinha conhecimento suficiente para perceber o potencial de uma vulnerabilidade muito simples e usá-la de forma consistente.
O que realmente chama atenção é que os segredos militares não são as “mercadorias” simples de encontrar, nem mesmo na darkweb e deepweb. Na verdade, é “incrivelmente raro” encontrar essas listagens. Em vez disso, a maioria das vendas diz respeito a dados confidenciais, como informações de identificação pessoal, credenciais de login, informações financeiras e registros médicos.
Dado o tipo de documentos confidenciais que um hacker mediano pode extrair de sistemas militares vulneráveis que são facilmente obtidos com uma ferramenta como o Shodan, podemos apenas imaginar o que “um grupo mais determinado e organizado com recursos técnicos e financeiros superiores” poderia alcançar.
O governo está constantemente atrasado quando se trata de treinamento de segurança de seus funcionários e proteção de segredos de Estado.
A 4Security possui uma gama de softwares e serviços voltados a cibersegurança e a ciberinteligência. Dentre eles, a geração de relatórios de CTI para instituições públicas e privadas. Os relatórios de CTI (Cyber Threat Intelligence) mostram dados sensíveis que são listados na deep e na darkweb e de outras fontes.
Entre em contato conosco para mais informações.