novembro 05, 2020

[Segurança] Alerta: Brasília sob ataque cibernético

Em poucos dias, surgiram notícias de alguns órgãos de governo que foram alvos de ciber ataques em um curto período de tempo. Segundo uma matéria publicada agora há pouco no site da Veja, o Brasil sofre seu maior "ataque hacker" (SIC) da história.

Putz, esse post parece ser muito longo para ler? Não tem problema, vá no final do artigo e veja o resumo que o CAIS fez e eu coloquei no "PS 9".

Por isso resolvi criar esse post, com os principais ataques noticiados recentemente:

  • Conselho Federal de Contabilidade: No dia 03/11 saiu a notícia de que os operadores do Ransomware Pysa publicou 2,08 GB de dados que foram roubados no Conselho Federal de Contabilidade em um ataque realizado em 13 de setembro deste ano;
  • Tribunal de Justiça de Pernambuco (TJPE): O TJPE sofreu um ataque por ransomware em 26/10, possivelmente pelo RansomEXX, segundo especulações que surgiram na imprensa;
  • Conselho Nacional de Justiça (CNJ): No domingo 01/11, o CNJ foi alvo de um acesso não autorizado ao servidor da instituição. O ataque foi anunciado via twitter pelo perfil M1keSecurity, atribuindo o ataque ao grupo Digital Space. O grupo conseguiu acesso a pelo menos um servidor do CNJ, fez um defacement (pixação de página web) e divulgou uma imagem da linha de comando de um servidor, para comprovar o acesso não autorizado ao ambiente;


  • Superior Tribunal de Justiça (STJ): Na tarde do dia 03/11 o STJ identificou um ataque, aparentemente de Ransomware, que infectou e criptografou mais de 1.200 servidores em máquinas virtuais e apagou os backups, o que tornou vários sistemas do tribunal indisponíveis. Segundo relatos, o atacante conseguiu acesso remoto a uma conta de Domain Admin para realizar o ataque;

  • Governo do Distrito Federal (GDF): Todos os sites do GDF foram tirados do ar nesta quinta-feira (5/11). preventivamente, após a Secretaria de Economia do Distrito Federal (SEEC) identificar uma tentativa de ataque aos seus sistemas. A paralização nos sistemas afetou também o site da Câmara Legislativa do Distrito Federal (CLDF);
  • Ministério da Saúde: Segundo reportagens, os sistemas do DATASUS, do Ministério da Saúde, estão fora do ar desde a manhã do dia 05/11 devido a um ataque de vírus que infectou computadores da instituição. Uma reportagem do UOL mostrou uma tela de computador supostamente atacada pelo Ransomware, mas a tela mostra a ferramenta BitLocker, que é nativa do Windows. Pode ser um computador protegido com criptografia pela própria equipe de TI, e não uma foto de Ransomware - embora exista a possibilidade de criminosos usarem o BitLocker como forma de criptografar os dados pelo Ransomware. Na madrugada do dia 06/11 ocorreu outro ciber ataque (aparentemente como forma de protesto): o grupo Cyber Team publicou um tweet anunciando o defacement de 4 sites do Ministério da Saúde, com direito a mirror no bom e velho Zone-H!


  • Controladoria-Geral da União (CGU): No dia 10/11, o site O Bastidor publicou uma notícia de que um hacker compartilhou um vídeo no YouTube mostrando como conseguiu explorar uma fragilidade num túnel de criptografia (VPN) da CGU e, assim, conseguiu acesso ao sistema do órgão. A vulnerabilidade explorada foi divulgada em maio de 2019 como CVE-2018- 13379, e permite a captura de arquivos sensíveis do FortiOS SSL VPN.


Além dos ataques citados acima, de maior repercussão na imprensa, recentemente tivemos mais alguns ataques a órgãos de governo espalhados pelo Brasil todo:
  • Tribunal de Justiça Militar do Estado de São Paulo: no dia 06/11 o site do Tribunal de Justiça Militar de São Paulo também sofreu um defacement, com uma mensagem de protesto usando a hashtag #estuproculposo;

  • Tribunal de Justiça do Pará (TJPA): O site do TJPA foi pichado pelo grupo NDA (Noias do Amazonas) em 07/11, com mensagem de protesto usando a hashtag #estuproculposo;
  • Prefeitura de Vitória: No dia 08/11 a Prefeitura de Vitória (ES) sofreu um ciber ataque "similar ao STJ". Ou seja, aparentemente esse foi mais um ataque de Ransomware, e a prefeitura foi obrigada a suspender vários serviços online;
  • Tribunal de Justiça de Santa Catarina (TJSC): Os sistemas de correio eletrônico foram invadidos no dia 10/11;
  • Tribunal de Justiça do Rio Grande do Sul (TJRS): No dia 11/11, a página do sistema processual eletrônico ("eproc") do TJRS sofreu um defacement, também mencionando o "estupro culposo".


Em comum, os ataques de defacement ao Ministério da Saúde, CNJ, TJMSP e TJPA foram realizados pelos grupos Cyber Team e Noias do Amazonas (NDA) motivados por protesto político, aproveitando a polêmica que surgiu após o julgamento da Mariana Ferrer.

OBS (incluído em 07/11): Pelo jeito o pessoal do Cyber Team não quer correr o risco de ser incriminado nos demais ataques, e publicaram uma nota no Twitter:


Segundo especulações compartilhadas entre alguns profissionais, esses ciber ataques de Ransomware realizados nessa semana contra os órgãos de governo parecem estar explorando uma vulnerabilidade crítica recente da VMWare, a VMSA-2020-0023.1 (CVE-2020-3992).

O pessoal do Centro de Atendimento a Incidentes de Segurança (CAIS), da RNP, publicou na sua página de Alertas uma nota produzida pelo SERPRO detalhando as recomendações e alguns dos indicadores de comprometimento (IOCs) do ataque que atingiu o STJ. O arquivo em PDF j(veja aqui a v4, de 07/11) já estava sendo compartilhado em alguns grupos do WhatsApp. É importante notar que o ataque está baseado na exploração de 3 vulnerabilidades: CVE-2020-1472 ("Zerologon"), CVE-2019-5544 e CVE-2020-3992 - que permitiram a escalada de privilégios, execução de códigos e consequente infecção por Ransomware nos servidores. Resumindo:
  • CVE-2020-1472 ("Zerologon"): Vulnerabilidade de escalação de privilégio em servidores Windows que explora a comunicação com o Controlador de Domínio através do protocolo remoto Netlogon (Microsoft Windows Netlogon Remote Protocol, MS-NRPC). Permite executar comandos com acesso privilegiado ou obter credenciais de acesso administrativo. Veja detalhes aqui, no site da Microsoft;
  • CVE-2019-5544: Vulnerabilidade crítica da VMWare, afetando appliances ESXi e Horizon, afetando a pilha de memória (heap) e que permite execução remota de código. Veja detalhes no Advisory VMSA-2019-0022.1 da VMWare;
  • CVE-2020-3992: Vulnerabilidade de execução remota de código no VMWare, que afeta o gerenciamento de memória do serviço Common Information Model (CIM). A exploração desta vulnerabilidade pode permitir execução de código através do protocolo OpenSLP, na porta TCP/427. Veja detalhes no Advisory VMSA-2020-0023.1 da VMWare.
Essas vulnerabilidades são conhecidas e já existem patches de correção e meios de mitigação. Esse alerta do CAIS (CAIS-Alerta) tem mais detalhes: Múltiplas vulnerabilidades críticas em plataformas.

Eu fiz uma rápida revisada e uma resumida para destacar as principais recomendações de contra-medidas apresentadas nesses documentos compartilhados pelo CAIS, conforme abaixo:
  • O ataque afeta sistemas VMWare e Windows, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores;
  • Ambiente Internet:
  • Rede interna e desktops:
    • Ativar assinaturas de proteção para a CVE CVE-2020-1472
    • Bloqueio imediato de arquivos com estas assinaturas:
      • MD5 (svc-new/svc-new) = 4bb2f87100fca40bfbb102e48ef43e65
      • MD5 (notepad.exe) = 80cfb7904e934182d512daa4fe0abbfb
      • SHA1 (notepad.exe) = 9df15f471083698b818575c381e49c914dee69de
      • SHA1 (svc-new/svc-new) = 3bf79cc3ed82edd6bfe1950b7612a20853e28b09
  • Ambiente de servidores:
OBS:
  1. Veja o PS6, ao final desse post, com recomendações adicionais.
  2. O SERPRO disponibilizou uma lista de reputação, atualizada em tempo real, com os IPs maliciosos que tentaram atacar sites de Governo: http://reputation.serpro.gov.br (Adicionado em 07/11)
  3. O CTIR Gov publicou um Alerta referente à campanha de ataques de Ransomware no governo (veja também a última versão nº 07/2020 de 11/11). Este documento é uma versão atualizada do alerta criado pelo SERPRO e distribuído pelo CAIS em 05/11. (Adicionado em 07/11) O CTIR Gov criou na sua página inicial os links para todos os alertas emitidos sobre as recomendações para prevenir ataques similares aos do STJ. (Adicionado em 08/11)
No dia 11/11 o Papo Binário publicou um vídeo com análise do Vatet Loader, o primeiro estágio de infecção do ataque de Ransomware ao STJ. Nos dias 14 e 18/11 publicaram a continuação da análise, com dois vídeos (parte 2parte 3 e 4) sobre o Loader do RAT, o payload responsável pelo 1o estágio do ataque.

      

     

Ainda não há evidências concretas da real motivação por trás desses ciber ataques. Embora esteja claro que alguns ataques foram realizados por grupos e motivações diferentes,  assusta a "coincidência" desses ciber ataques acontecerem contra vários órgãos de governo em tão curto espaço de tempo.  Mas vale reforçar que não há evidência de que estes ataques estejam relacionados. Obviamente o defacement contra o CNJ e alguns tribunais é bem diferente dos ataques de Ransomware ao STJ, CNJ e Ministério da Saúde, o que indica, pelo menos para mim, que os ataques de defacement não estão relacionados aos ataques de ransomware. Além disso, o ataque de Ransomware ao STJ, direcionado a máquinas virtuais VMWare, parece ser diferente do ataque contra o Ministério da Saúde, usando o BitLocker.

No campo da especulação sobre a motivação dos atacantes, embora os ataques de defacement tenham motivação clara (protesto), eu vejo 4 hipóteses principais sobre os ataques de Ransomware contra o STJ, GDF e Ministério da Saúde:
  • Criminoso internacional e ataque de Ransomware tradicional, com objetivo de ganhar dinheiro com resgate - essa é a hipótese mais provável, pelo simples fato de que esse tipo de ataque acontece frequentemente, o tempo todo, no mundo inteiro. E o Ransomware que atacou o STJ já fez outras empresas de vítimas nos EUA (Texas Department of Transportation, Konica Minolta, Tyler Technologies, Montreal Public Transportation System);
  • Criminoso brasileiro e ataque de Ransomware tradicional, com objetivo de ganhar dinheiro com resgate - acho isso pouco provável, pois os ataques de Ransomware ainda não são muito populares entre os ciber criminosos brasileiros, e principalmente porque um criminoso local saberia que é muito burocrático, quase impossível, operacionalizar o pagamento de um resgate de Ransomware em um órgão público brasileiro;
  • Ataque destrutivo de protesto hacktivista: esta hipótese já foi levantada por alguns sites e profissionais, ainda mais porque hoje, 05/11, é o "Guy Fawkes Night", uma data comemorativa na Inglaterra que foi popularizada quando os hacktivistas do Anonymous escolheram o personagem do Guy Fawkes para representá-los. Desde o início dos anos 2010, essa data é associada a protestos hacktivistas (embora tenham caído de popularidade depois de 2015). Para apoiar essa hipótese, há a notícia de que foi encontrado no código a hashtag #estuproculposo, uma referência aos protestos contra uma recente decisão judicial muito vergonhosa no caso Mari Ferrer.
    <sarcasmo>Seria esse um Ranwomware Culposo?</sarcasmo>
    Mas eu considero que essa hipótese também é pouco provável, pois um ataque de Ransomware, da forma que foi realizada conta o STJ, é de grande complexidade, a ponto de exigir um grande esforço que não se justifica pelo simples desejo de protesto contra o governo;
  • Ataque destrutivo direcionado: Esta hipótese, praticamente uma "teoria da conspiração", é a minha 2a favorita - não pelo fato de ser plausível, mas simplesmente por ter um teor conspiratório e altamente especulativo (embora traga uma politização da discussão). Nesse caso, especula-se que o ataque contra o STJ poderia ter sido realizado com o objetivo de destruir, roubar e/ou vazar as informações de processos contra importantes figuras políticas brasileiras, incluindo processos relacionados a Operação Lava Jato, ao ex-presidente Lula e a família do atual presidente da república. Sob esse ponto de vista, haveria interesse de grupos políticos em ter acesso ou destruir tais informações, prejudicando (ou favorecendo) alguns políticos. Tais grupos políticos, portanto, teriam os meios financeiros de contratar ciber criminosos profissionais para realizar um cyber ataque destrutivo de tamanha complexidade.

<sarcasmo>Como um órgão público consegue pagar um resgate de Ransomware? Tem que fazer licitação?</sarcasmo>

O Mente Binária publicou uma notícia aonde lembrou que "O ransomware RansomExx é normalmente operado pelo grupo criminoso conhecido pelo nome Gold Dupoint, ativo pelo menos desde Novembro de 2018, que já atacou o Departamento de Transporte do Texas (TxDOT) em maio deste ano, dentre outras vítimas."

Vou aproveitar para fazer coro com o Mente Binária, e destacar:

  • Parabéns aos profissionais e órgãos competentes que estão trabalhando arduamente na investigação, recuperação e mitigação desse ataque, com destaque para:
    • Todo o trabalho da PF e outras instituições envolvidas na resposta ao incidente;
    • O CAIS RNP por ter publicado dois alertas (no dia 05/11 e 06/11) com detalhes técnicos do ataque, além de realizar 2 lives no dia 06/11;
  • A "vergonha alheia" que vimos em alguns movimentos:
    • A tentativa de responsabilizar o técnico do STJ por estar trabalhando em home office;
    • O atual presidente dizer que a PF já sabe quem é o "hacker";
    • Uma possível associação com a hashtag #estuproculposo;
    • O total silêncio do CERT.br;
    • Algumas notícias confundindo os ataques de defacement com os de Ransomware, que possuem motivações diferentes.

Estou atualizando esse post com mais novidades, assim que estão surgindo.

Para saber mais:

PS: Algumas das notícias acima são retiradas do site O Bastidor, até mesmo porque esse site foi o primeiro a reportar alguns detalhes sobre p ataque ao STJ. Embora eu tenha colocado elas nas referências, eu não tenho informações sobe a credibilidade do site nem sobre a veracidade das informações noticiadas.

PS/2: Post atualizado em 05/11 as 19h40, 20h30, 22h20, 22h40 e 22h50. Post atualizado as 23h35 para incluir a discussão sobre a motivação dos ataques. Atualizado em 06/11 as 01h10 am, 02h10 am, 10h, 10h10, 10h25, 10h40, 13h25, 14h40, 15h20 e 15h45. Atualizado em 07, 08, 09, 10 e 11/11. Novas atualizações em 12/11. Pequena atualização em 13, 14, 16, 18, 19, 23 e 25/11. Atualizado novamente em 28/12. Pequena atualização em 03/02/2021.

PS 3: Só para constar: eu lamento profundamente ver a maioria das notícias usando a expressão "ataque hacker" no título. Claramente é algo para chamar a atenção da população de forma apelativa, sensacionalista. Infelizmente esse tipo de atitude ajuda a reforçar a imagem negativa e errada do termo "hacker". Lembre-se: "quem faz ataque de Ransomware é ciber criminoso, não é hacker!"

PS 4: Só estou postando aqui informações com fonte identificável. Não vou publicar as diversas especulações e reproduções sem fonte que estão sendo compartilhadas em vários grupos de WhatsApp sobre esse assunto. Também não é foco aqui desse post compartilhar as especulações com tom político sobre o assunto.

PS5 (Adicionado em 06/11, as 2am): É muito frustrante ver que nada foi publicado sobre um incidente dessa proporção pelo CERT.BR (twitter) nem pelo CTIR Gov (nem alertas nem tweets). #prontofalei - Corrigindo: desde o dia 07 o CTIR Gov está compartilhando alguns alertas com recomendações de prevenção (baseados no documento do SERPRO, compartilhado inicialmente pelo CAIS)


PS 6 (Adicionado em 06/11, as 13h25): Está sendo compartilhado nos grupos de WhatsApp uma nova versão do documento com recomendações de segurança do SERPRO divulgado publicamente ontem pelo CAIS. Essa nova versão é atribuída ao CTIR Gov (embora nada conste no site deles) e foi atualizada no site do CAIS, e traz algumas recomendações e IOCs novos. O CTIR Gov tem mantido essas recomendações atualizadas em sua página de Alertas. Vou transcrever abaixo as informações que achei mais relevante e mais específicas sobre o modus operandi desse ciber ataque contra o STJ - mas o documento tem muitas dicas legais, vale muito a pena ler ele an sua totalidade.
  • IPs categorizados como maliciosos na última hora (lista a ser atualizada pelo SERPRO a cada 12 horas:
    • 54.36.148.255 189.6.246.8 54.36.149.92 89.248.171.134 54.36.148.44 54.36.148.74 185.191.171.3 185.191.171.20 201.47.114.144 54.36.148.79 45.143.221.154 46.229.173.67 54.36.148.106 185.191.171.23 185.26.92.74 185.25.35.9 54.36.148.86 176.31.3.253 54.36.148.35 54.36.148.8 54.36.148.23 54.36.148.127 54.36.148.57 23.96.117.179 37.59.222.68 165.22.42.137 125.95.20.92 23.97.242.129 119.60.5.37 94.200.76.222 103.95.199.151 23.96.117.144 54.36.148.49 74.125.151.31 63.143.42.242 54.36.148.40 54.36.148.190 54.36.148.113 54.36.148.78
    • OBS (adicionado em 07/11): O SERPRO disponibilizou a lista de reputação dos IPs atualizada em tempo real, que contém os endereços maliciosos que tentaram atacar sites de Governo: http://reputation.serpro.gov.br
  • Monitorar tentativas de acesso à porta 427 com destino a administração de virtualização;
  • Monitorar bloqueio de contas no Active Directory ou LDAP por tentativa de login falhas (account lockout);
  • Criar regra de monitoração de força bruta de autenticação em AD e autenticação Local. Por exemplo: "X tentativas falhas de login dentro do intervalo de Y segundos";
  • Monitorar tentativas de acesso por meio de pass-the-hash:
    • userName != “ANONYMOUS LOGON”
    • Microsoft-Windows-Security-Auditing = 4624
    • Microsoft-Windows-Security-Auditing = 4625
    • LogonProcessName = 'NtLmSsp'
  • Sugestão de regra Yara para encontrar variantes do malware. Os órgãos podem usar estes padrões de string como parâmetros de inspeção em seus controles:
rule RansomwareESXi 
strings:
   $string1 = "ransomware.c" nocase
   $string2 = "cryptor.c" nocase
   $string3 = "logic.c" nocase
   $string4 = "enum_files.c" nocase
   $string5 = "aes.c" nocase
   $string6 = "rsa.c" nocase
   $string7 = "crtstuff.c" nocase
   $string8 = "mbedtls" nocase
condition:
   all of them
}
rule BackdoorNotepad
{
strings:
   $string1 = "c:\\windows\\INF\\config.dat" nocase
condition:
   $string1
}

PS 7: Para descontrair....


PS 8 (Adicionado em 06/11): Desde ontem já estão circulando algumas piadas sobre o incidente...

PS 9: O pessoal do CAIS fez um rápido resumo sobre o ocorrido:


PS 10: Hoje, 07/11, o CTIR Gov publicou um Alerta Especial referente à campanha de ataques de Ransomware no governo (STJ, principalmente). Este documento é uma versão atualizada do alerta criado pelo SERPRO e divulgado publicamente pelo CAIS em 05/11. (veja também a última versão nº 07/2020 de 11/11) Criaram links na página inicial do CTIR Gov para todos os alertas emitidos sobre as recomendações para prevenir ataques similares aos do STJ. As atualizações tem sido diárias, vale acompanhar.

4 comentários:

Anônimo disse...

Excelente cobertura do incidente Anchises. Muito obrigado por compartilhar as informações!!!

Frederico Guimarães disse...

Um ótimo levantamento dos acontecimentos. Muito obrigado pelo trabalho, foi muito bem feito e me será muito útil pra conseguir acompanhar a história toda. :-)

Castanheira disse...

No more updates?
Anchisesbr I wanna more info. :-)

Anchises disse...

Estou atualizando esse post na medida que surgem novas informações relevantes!
(só hoje, 11/11, foram 2 atualizações, uma de manhã e outra no final do dia)
Obrigado pelos comentários e feedbacks de todos vocês!

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.