Autor: Adriano Lopes

Pouco antes do Black Hat 2019, a Microsoft informou que em abril o Threat Intelligence Center descobriu um ataque direcionado contra dispositivos IoT – um telefone VOIP, uma impressora e um decodificador de vídeo. O ataque atingiu vários locais, usando os dispositivos como pontos de acesso flexíveis em redes corporativas mais amplas. Dois dos três dispositivos ainda carregavam configurações de segurança de fábrica, o software no terceiro não tinha sido atualizado.

A Microsoft atribuiu o ataque a um grupo russo chamado Strontium. O grupo também atende pelo nome Fancy Bear. E é mais comumente conhecido como APT28. Uma semana atrás, o mesmo grupo de hackers patrocinado pelo Estado estava ligado à invasão das contas de e-mail seguro de pesquisadores que investigavam crimes supostamente cometidos pelo Estado russo – incluindo a suspensão do MH17 e os envenenamentos Skripal.

Acredita-se que o APT28 da Rússia seja controlado pela inteligência militar GRU. De acordo com os pesquisadores de segurança cibernética da  Crowd Strike , a APT28 “tem como alvo vítimas em múltiplos setores em todo o mundo – por causa de suas extensas operações contra ministérios de defesa e outras vítimas militares – seu perfil reflete de perto os interesses estratégicos do governo russo”.

A Microsoft informou que no ano passado, “entregou quase 1400 notificações de estado-nação para aqueles que foram alvo ou comprometidos pelo Strontium”. Cerca de 20% desses ataques foram direcionados a organizações não governamentais ou afiliadas politicamente. O restante visou os setores de maior perfil para os ataques patrocinados pelo Estado: governo, defesa, tecnologia, medicina e engenharia.

Apenas alguns dias atrás, o site Forbes informou que pesquisadores de segurança da Armis  tinha  divulgado múltiplas vulnerabilidades zero-day em VxWorks, o sistema operacional que aciona mais de 2 bilhões de dispositivos da Internet das coisas ao redor do mundo. De acordo com a Forbes na época, dado o crescimento previsto no número de dispositivos de IoT, isso deve mostrar a seriedade do risco e a facilidade com que essa escala de dispositivos pode ser exposta. A divulgação do VxWorks impactou dispositivos ostensivamente de baixo risco, impressoras, firewalls e equipamentos médicos. Mas o risco era que esses dispositivos fornecessem pontos de acesso em redes corporativas, tornando inúteis as camadas de segurança da rede.

Não demorou muito para que essa mensagem fosse reforçada. “Dispositivos de IoT são propositadamente projetados para se conectarem a uma rede e muitos são simplesmente conectados à internet com pouca administração ou supervisão”, apontou a Microsoft em seu blog. “Na maioria dos casos, no entanto, o centro de operações de TI dos clientes não sabe que eles existem na rede.”

Mas eles existem, e nesse caso “eles se tornaram pontos de ingresso, dos quais o ator estabeleceu uma presença na rede e continuou procurando por mais acesso. Uma vez que o ator tivesse estabelecido com sucesso acesso à rede, uma simples varredura de rede procuraria outros dispositivos inseguros permitiram que eles descobrissem e se movessem pela rede – lançando um script de shell simples para estabelecer persistência na rede que permitia acesso estendido para continuar caçando.A análise do tráfego de rede mostrava que os dispositivos também estavam se comunicando com um comando externo e servidor de controle. “

A divulgação do VxWorks foi um aviso. Deve ser um ponto bastante óbvio. Se os dispositivos estiverem conectados a uma rede corporativa e puderem ver o mundo externo, eles se tornarão vulneráveis. Se o seu departamento de TI não sabe que eles existem, eles não são corrigidos e mantidos, esses pontos de extremidade se tornam seus pontos de entrada mais fáceis. E agora estamos falando de ataques patrocinados pelo Estado – agora estamos sentados à mesa dos adultos.

A Microsoft diz que está fazendo a divulgação para “aumentar a conscientização sobre esses riscos em todo o setor e exigir uma melhor integração empresarial de dispositivos de IoT – hoje, o número de dispositivos de IoT implantados supera a população de computadores pessoais e celulares”.

Concluí o relatório do VxWorks perguntando “que outras vulnerabilidades críticas existem em outros sistemas comuns de IoT industriais – talvez no setor aeroespacial e de defesa, em infraestrutura crítica, em energia e recursos?”

Bem, agora nós sabemos.

Fonte: Mundo Hacker