Outro APT da “família Dukes” está atingindo grandes alvos, incluindo o departamento do governo do Estados Unidos. Desta vez é o CozyDuke, conhecido também como CozyBear, CozyCar ou “Macacos de Escritório”, em homenagem ao video que prega uma pegadinha.
O ataque é notavelmente sofisticado, incluindo componente de criptografia, capacidades de anti-detecção e conjunto bastante bem desenvolvido de componentes de malware que apresentam semelhanças estruturais com as ameaças anteriores MiniDuke, CosmiccDuke e Onion Duke.
“Macacos de Escritório” são perigosos
O que realmente vale a pena mencionar sobre o metódo de penetração inicial deste ataque é que ele é inteiramente baseado em técnicas de engenharia social. E, infelizmente, é uma abordagem muito bem sucedida nos ataques direcionados.
Os cibercriminosos estão oferecendo um video extremamente engraçado sobre o trabalho nos escritórios como isca. O arquivo, incluindo o vídeo executável, é enviado via e-mail de phishing contendo um anexo ou um link para site, por vezes, um site legítimo e até mesmo altamente classificado que já tenha sido comprometido.
Enquanto o vídeo é reproduzido, o conta-gotas é silenciosamente instalado no seu sistema, pronto para receber comandos e componentes do malware a partir dos servidores de Comando e Controle.
Os cibercriminosos não estão enganados em pensar que muitos dos destinatários irão reproduzir o vídeo. Eles não só repoduzirão, como compartilharam com os colegas de escritório, ajudando ativamente no processo de distribuição do malware. Dado o elevado perfil das metas, a quantidade de informações confidenciais que poderiam ser roubadas não pode ser quantificada.
Então a questão é: como você pode atenuar uma ameaça tão horrível, quando até mesmo seus próprios funcionários de confiança estão a trabalhar contra a sua segurança cuidadosamente construída? Com certeza, você não deve subestimar o poder da engenharia social: quantos funcionários leais resistiriam, por exemplo, a abrir o link de um e-mail do chefe que foi cuidadosamente forjado?
Como atenuar uma ameaça de “Macacos de Escritório”?
Na verdade, várias precauções de segurança muito básicas ou estratégias de mitigação podem trabalhar de forma eficaz contra até mesmo os APTs mais sofisticados e bem planejados. Por exemplo, uma simples contenção de direitos administrativos mais o patching das vulnerabilidades e a restrição do número de aplicativos permitidos podem atenuar 85% dos incidentes ligados a ataques direcionados.
O controle de aplicativos da Kaspersky Lab com listas dinâmicas seria um componente valioso para garantir a proteção. O vídeo, bem como os outros componentes de malware do CozyDuke, simplesmente não seriam capazes de atuar sem ser previamente aprovado pelo administrador do sistema.
The White House, US State Department and others are counted among #CozyDukeAPT victims – http://t.co/nXaf9mj6cK pic.twitter.com/FSRwlgClmD
— Kaspersky (@kaspersky) April 24, 2015
Algumas pessoas do administrativo podem ter uma gama limitada de funções e responsabilidades, ao lidar no dia-a-dia com a correspondência altamente sensível. Tal cenário de trabalho pode ser melhor abordado através da adoção de um modo padrão de Controle de Aplicativos, permitindo a execução somente dos componentes do sistema e programas absolutamente necessários para as atividades de trabalho do indivíduo.
Outras estratégias úteis, especialmente adequadas para as agências governamentais ou outras empresas altamente regulamentadas, podem incluir:
- Usando a tecnologia de Controle Web para restringir o acesso apenas aos recursos da Web permitidos, limitados a aqueles que estão relacionadas com o trabalho – ou pelo menos só para certas categorias do site.
- Aplicação de filtragem de conteúdo de e-mail, como os oferecidos pela Kaspersky Security para Exchange / Linux Mail, para excluir e-mails suspeitos e anexos (como arquivos), dependendo da função do destinatário e antiguidade.
- Usando a tecnologia de controle de dispositivos para evitar transferências não solicitada de informação através do perímetro de segurança de e para o mundo exterior – ou mesmo dentro do perímetro. Além de ajudar a prevenir a propagação de malware, esta abordagem pode oferecer proteção contra algumas formas de roubo de dados intencional.
- Realização de treinamento especializado em segurança para os funcionários, como o oferecido pela Kaspersky Lab como parte dos Serviços de Inteligência de Segurança. Isto conduzirá uma maior sensibilização e compreensão dos perigos que enfrentam. O treinamento também iirá educá-los sobre como evitar muitas práticas aparentemente inocentes, ainda não seguras que podem custar uma fortuna para o seu negócio – ou mesmo constituir uma ameaça para a segurança de seu país.
Check out Kaspersky Lab's Targeted #Cyberattacks Logbook https://t.co/X3IemS4Jf9 #SecurityWithoutBorders pic.twitter.com/p441mWhfuG
— Kaspersky (@kaspersky) March 28, 2015
Considere algo maior
Antes de um ataque, os atores do APT irão reconhecer a organização alvo – incluindo funcionários, processos de negócios e soluções de segurança. Este conhecimento é usado para ajudar a avaliar as vulnerabilidades do alvo e para contornar os mecanismos de segurança existentes.
Como enfraquecer a ameaça #CozyDukeAPT
Então, quando se lida com APTS, é absolutamente necessário empregar uma abordagem de segurança multi-camadas, aumentando sua confiança anti-malware com uma série de medidas de segurança proativas que abrangem diferentes partes de sua rede de TI. Assim armado e preparado, você se torna um alvo desinteressante e formidavelmente inviável para APTS.
Tradução: Juliana Costa Santos Dias