Nº4: Todos os caminhos levam à Pyongyang
Pesquisadores descobriram uma rede usada em ataques da inteligência norte-coreana contra alvos no mundo todo, inclusive aqui no Brasil.
É muito comum que, ao falar sobre ataques cibernéticos, boa parte da atenção seja dedicada à fase do ataque que chamamos de “acesso inicial”, que envolve as etapas que explicam como o adversário fez a intrusão no computador ou na rede da vítima. É compreensível que muito foco seja dedicado nisso, no entanto, há outros componentes e fases de um ataque tão relevantes para entender o adversário quanto simplesmente responder como uma rede foi invadida.
Especialistas da SecurityScorecard publicaram, na quarta (29), os dados de uma pesquisa super rica a respeito da infraestrutura de comando e controle usada em ataques recentes do Lazarus Group. Já tratei do Lazarus aqui na TLP Black mas, de modo geral, quando você vir esse nome, entenda que estamos falando de uma complexa operação de inteligência a serviço da Coreia do Norte.
Comando e controle é a fase de uma cadeia de ataque em que o adversário já estabeleceu uma posição na rede da vítima e, a partir desse momento, passa a controlar seus computadores remotamente e a roubar seus dados. Mas, em ataques sofisticados, para que isso dê certo, ele precisa ter montado uma infraestrutura que, por um lado, permita que o fluxo de comandos enviados pelo operador e de arquivos roubados da vítima ocorra com o mínimo de obstrução e a melhor performance possível. Por outro lado, essa comunicação precisa passar despercebida por analistas e ferramentas de segurança.
Montar uma infra dessas não é algo fácil. Encontrar algo assim em meio ao ruído da internet, idem.
Os pesquisadores da SecurityScorecard encontraram essa infra enquanto investigavam uma série de ataques do Lazarus, apelidada de Operation 99 que, a princípio, tinha afetado vítimas na Itália. Posteriormente, eles identificaram evidências de que a estrutura também foi usada contra 233 alvos no Brasil, França e Índia em 3 séries de ataques entre setembro do ano passado e o atual mês de janeiro, focados em um tipo específico de alvo: desenvolvedores de software freelancers que atuam na indústria de criptoativos. Essa especialidade tem a ver com o fato de que esse tipo de profissional tem acesso a códigos-fonte e servidores de uma série de empresas que estão no radar do Lazarus, isso porque, segundo múltiplas fontes, a Coreia do Norte tem roubado empresas no setor financeiro, sobretudo do setor de cripto, para financiar seu regime. Mais detalhes na edição No 2 da TLP Black.
A infraestutura que sustentava a Operation 99 foi documentada como Operation Phantom Circuit e realmente tem contornos de uma rede fantasma, isso porque ela foi montada para, de forma oculta, permitir que os operadores do Lazarus, administrassem os alvos remotamente, organizassem e gerenciassem o fluxo de dados roubados e pudessem instalar outras ferramentas e famílias de malware nos alvos, dependendo da necessidade.
Para isso, eles abusaram de um mix de serviços digitais comuns como repositórios no Dropbox, servidores no provedor Stark Industries, serviços de intermediação da comunicação (proxies) da Oculus e de VPN da Astrill.
Então, quando investigaram com quem as máquinas infectadas pela Operation 99 estavam se comunicando, os pesquisadores da SecurityScorecard chegaram a um conjunto de servidores na Stark Industries. Neste ponto do trabalho, se descobriu como as vítimas conversavam com a infraestrutura, era necessário então entender como os atacantes se conectavam a ela.
Imagem: SecurityScorecard
Em uma das séries de ataques, os pesquisadores identificaram uma comunicação entre os servidores e um repositório no Dropbox, o que indicava que as máquinas no ambiente da Stark estavam repassando os dados roubados para esse serviço em nuvem. Depois, foi observado que quatro endereços IP com origem no serviço de proxy Oculus estavam acessando os servidores do Lazarus em um padrão de comportamento diferente do acesso das vítimas, o que indicava ser o atacante gerenciando a rede.
Serviços de proxy tornam possível o acesso à internet com um endereço IP diferente do seu endereço original, geralmente por meio de um endereço em outro país. São conceitualmente parecidos com as VPNs, porém não necessariamente protegidos com criptografia e têm lá sua utilização legítima. Podendo ser adotados por pessoas que querem acessar um conteúdo bloqueado em seu país (por exemplo, para assistir o novo Dr. Who no streaming da BBC), para quem quer identificar variações de preço de uma determinada coisa em um e-commerce dependendo do país de origem da comunicação ou para checar como uma determinada campanha de publicidade digital aparece, dependendo do IP de origem da comunicação. Mas eles também são usados por criminosos de todo tipo para confundir analistas de segurança que querem “puxar o fio” de modo a descobrir o verdadeiro IP do atacante.
Nesse caso, foi identificado que o Lazarus chegava ao serviço da Oculus, por meio de cinco endereços IP do serviço de VPN da Astrill e, usando a mesma lógica de rastreabilidade, o time da SecurityScorecard alcançou a origem da comunicação: seis endereços IP em Pyongyang, a Capital da Coreia do Norte.
Imagem: SecurityScorecard
Fazendo o caminho inverso, imagine um membro inteligência norte-coreana com a atribuição de operar esses ataques acordando, escovando os dentes, tomando seu desjejum, se preparando para o trabalho e chegando a um daqueles prédios de arquitetura brutalista em que estão os órgãos de segurança do governo norte-coreano. Aí ele liga o computador e se saísse diretamente para a Internet, estaria com o IP 175.45.178.cento e alguma coisa, que sabemos ser um endereço na Coreia do norte. Então ele aplica a primeira camada para sua proteção acessando a VPN da Astrill. Para quem observa de fora, ele está agora com o endereço 70.29.70.cento e noventa e alguma coisa, que é um endereço do Canadá. Além disso, por usar uma VPN, sua comunicação é criptografada, o que protege o seu conteúdo. Mas esse operário “do regime” ainda precisa de mais uma camada para dissuadir qualquer um que esteja lhe observando, então ele passa a usar o serviço de proxy da Oculus, fazendo com que sua comunicação saia com o endereço 83.234.227.quarenta e alguma coisa, um IP com origem na Rússia. Aí sim, ele pode se conectar aos servidores de comando e controle, checar se todos os alvos estão ativos, baixar dados movidos para o repositório no Dropbox e dentre outras coisas, ativar novas famílias de malware nas maquinas das vítimas. Uma terça-feira de trabalho qualquer no escritório.
No Horizonte
A Apple publicou correções para uma série de vulnerabilidades em meio a atualização que entregou o que faltava do Apple Intelligence. Destaque para a correção da vulnerabilidade catalogada como CVE-2025-24085, que permite escalar privilégios no iOS, iPadOS, macOS Sequoia, tvOS, visionOS e watchOS. Esse tipo de falha é útil ao atacante que, de alguma forma, conseguiu invadir a tecnologia, mas não possui acesso para fazer algo significativo em seu ataque, precisando escalar privilégios no aparelho de modo a conseguir um acesso maior. A vulnerabilidade vem sendo explorada em ataques nesse momento. Para quem não possui dispositivos elegíveis ao Apple Intelligence, o pacote é essencialmente formado por atualizações de segurança. Não deixe de atualizar.
Outra falha que vem sendo explorada nesse momento afeta equipamentos de rede da linha CPE produzidos pela Zyxel. Ela foi catalogada como CVE-2024-40891 é um “filé” de vulnerabilidade, pois permite que o atacante possa executar comandos no aparelho com privilégios de administrador do dispositivo. Evidências da existência dessa vulnerabilidade existem desde julho do ano passado mas, até o momento em que escrevo essa TLP Black, a fabricante não publicou uma correção para o problema.
A pesquisadora a Fortinet Cara Lin, documentou uma série de ataques recentes conduzidos pelos operadores do malware bancário Coyote, que foi feito para atacar correntistas de bancos brasileiros. Dentre suas funcionalidades, a ameaça está preparada para coletar tudo que é digitado pelo usuário, extrair “prints” de tela, roubar senhas e sobrescrever a tela da vítima com uma tela falsa quando esta acessa o site de um banco elegível pelo atacante. Mais de 70 aplicações bancárias estão dentre os alvos da quadrilha.
Representantes da Meta afirmaram ter interrompido uma série de ataques contra aproximadamente 100 jornalistas e membros de organizações da sociedade civil no WhatsApp. A empresa de spyware israelense Paragon foi apontada com a origem dos ataques. São poucos os detalhes técnicos publicados sobre o caso até o momento em que essa TLP Black foi fechada. Quando eles surgirem, tratarei deles por aqui.
Link Aleatório
Assuntos fora da pauta de hoje, os quais (acho) que vocês vão gostar.
“Teje” preso. Uma operação conjunta entre forças policiais de diversos países tirou do ar os marketplaces Cracked e Nulled, frequentados pelo cibercrime e que, no total, tinham mais de 10 milhões de usuários. Duas pessoas foram presas e a operação ainda interrompeu a atividade do Sellix, usado pela Cracked para processar transações e de um serviço de hospedagem chamado StarkRDP, promovido em ambos marketplaces. A semana ainda contou com outra operação, executada por autoridades dos EUA e dos Países Baixos que tirou do ar 29 domínios usados em ataques de phishing operados pela quadrilha paquistanesa HeartSender.
Eu e o robô. Está agendada para abril uma meia maratona entre humanos e robôs. A corrida vai acontecer na Área de Desenvolvimento Econômico-Tecnológico de Pequim, apelidada de E-Town, com vagas para 12 mil humanos e robôs de mais de 20 empresas. Competidores robóticos precisam ter uma aparência humanoide e um design que os permita andar ou correr. Rodas são proibidas.
Backdoor by Design. A CISA emitiu um alerta sobre uma falha gravíssima no monitor de sinais vitais CMS8000, produzido pela fabricante de equipamentos médicos Contec Health. Segundo a agência, o produto foi concebido para “enviar solicitações de acesso remoto para um endereço IP codificado, ignorando as configurações de rede do dispositivo existentes para fazê-lo. Isso pode servir como um backdoor e permitir que um ator mal-intencionado faça o upload e substitua arquivos no dispositivo”. Imagine alguém se conectando a um equipamento desses e o adulterando de modo a não alertar as equipes médicas quando uma pessoa estiver passando por uma parada cardíaca.
Dentre as recomendações para lidar com o problema, a mais importante é de não expor estes dispositivos à Internet.
ChangeYourView Machine. A OpenAI usou o subreddit ChangeMyView de modo a criar um teste para medir as habilidades persuasivas de seus modelos de IA. Segundo sua descrição, o subreddit ChangeMyView é “um lugar para postar uma opinião que você aceita que pode ser falha, em um esforço para entender outras perspectivas sobre o assunto.” A OpenAI diz que coletou postagens de usuários deste subreddit e pediu para seus modelos escreverem respostas pesuasivas. A empresa afirma que essas respostas foram criadas em ambiente fechado e não foram postadas no ChangeMyView.
Pra não dizer que a TLP Black não mencionou o DeepSeek. Leia essa entrevista com o Silvio Meira na Folha de hoje e veja esse vídeo de Alberta Tech.
