2 pontos por GN⁺ 2023-09-08 | 1 comentários | Compartilhar no WhatsApp
  • Agentes que se acredita serem apoiados pelo governo da Coreia do Norte, acompanhados pelo Google TAG, continuam mirando pesquisadores de segurança de pesquisa e desenvolvimento de vulnerabilidades, e um 0-day explorado ativamente também foi identificado na campanha recente
  • Os invasores criam um relacionamento no X e depois levam a conversa para Signal, WhatsApp ou Wire; quando ganham a confiança do pesquisador, enviam um arquivo malicioso contendo um 0-day em um pacote de software popular
  • Após o sucesso do exploit, o shellcode realiza detecção de máquina virtual e envia as informações coletadas e capturas de tela para um domínio C2 controlado pelos invasores
  • A ferramenta Windows GetSymbol, suspeita de ser uma rota de infecção separada, parece um utilitário para baixar símbolos de depuração, mas pode baixar e executar código arbitrário a partir de um domínio controlado pelos invasores
  • O TAG adicionou os domínios relacionados ao Safe Browsing, enviou alertas de invasores apoiados por governo a usuários-alvo do Gmail e Workspace e recomenda o Chrome Enhanced Safe Browsing e a atualização dos dispositivos

Foco recorrente em pesquisadores de segurança

  • Em janeiro de 2021, o Google Threat Analysis Group (TAG) divulgou uma campanha em que agentes apoiados pelo governo da Coreia do Norte miravam pesquisadores de segurança de pesquisa de vulnerabilidades com exploits 0-day
  • Nos dois anos e meio seguintes, o TAG continuou rastreando e bloqueando campanhas da mesma linhagem, encontrando 0-days para proteger usuários online
  • A nova campanha identificada recentemente provavelmente envolve os mesmos agentes, devido às semelhanças com atividades anteriores
  • Nas últimas semanas, pelo menos um 0-day explorado ativamente foi usado em ataques contra pesquisadores de segurança, e a vulnerabilidade foi reportada ao fornecedor afetado
  • O fornecedor publicou um patch em 12 de setembro de 2023, e o TAG divulgou uma análise de causa raiz de acordo com a política de divulgação do Google

Entrega de arquivos maliciosos após criar relações sociais

  • Como em campanhas anteriores, os invasores primeiro entram em contato com pesquisadores-alvo em redes sociais como o X
    • Em um caso, eles mantiveram conversas com um pesquisador de segurança por meses com base em interesses em comum e tentaram colaborar
    • A conversa iniciada no X foi transferida para mensageiros criptografados como Signal, WhatsApp e Wire
  • Depois que a confiança é estabelecida, os invasores enviam um arquivo malicioso contendo pelo menos um 0-day em um pacote de software popular
  • Quando o exploit é bem-sucedido, o shellcode executa várias verificações anti-máquina virtual
    • Em seguida, envia as informações coletadas e capturas de tela para um domínio de comando e controle controlado pelos invasores
    • A forma como o shellcode é configurado é semelhante ao shellcode observado em exploits anteriores da Coreia do Norte

Possível rota de infecção secundária via GetSymbol

  • Além do direcionamento com 0-day, os invasores também desenvolveram uma ferramenta Windows autônoma
  • A ferramenta se apresenta como destinada a baixar símbolos de depuração de servidores de símbolos da Microsoft, Google, Mozilla e Citrix para engenheiros reversos
  • O código-fonte foi publicado pela primeira vez no GitHub em 30 de setembro de 2022, e várias atualizações foram distribuídas depois disso
  • À primeira vista, parece um utilitário para baixar rapidamente informações de símbolos de várias fontes
    • Symbols podem fornecer informações adicionais sobre binários, ajudando na depuração de problemas de software ou na pesquisa de vulnerabilidades
  • No entanto, a ferramenta também inclui a capacidade de baixar e executar código arbitrário a partir de um domínio controlado pelos invasores
  • O TAG recomenda que, se você baixou ou executou essa ferramenta, verifique se o sistema está em um estado limpo conhecido; pode ser necessário reinstalar o sistema operacional

Medidas de proteção do Google

  • O TAG usa resultados de pesquisas para responder a agentes de ameaças graves e melhorar a segurança e proteção dos produtos do Google
  • Todos os sites e domínios identificados foram adicionados ao Safe Browsing assim que descobertos, protegendo os usuários contra exploração adicional
  • Usuários-alvo do Gmail e Workspace receberam alertas de invasores apoiados por governo
  • Recomenda-se que possíveis alvos ativem o Enhanced Safe Browsing do Chrome e mantenham todos os dispositivos atualizados
  • À medida que a compreensão de táticas e técnicas aumenta, as capacidades de caça a ameaças e a proteção de usuários em todo o setor também podem ser fortalecidas

Sites e contas controlados pelos invasores

1 comentários

 
GN⁺ 2023-09-08
Opiniões no Hacker News
  • A ferramenta getsymbol no GitHub recebeu 214 estrelas, mas não aparece nenhum banner dizendo que é uma ferramenta maliciosa
    Há um link para o post do blog do Google em uma issue recente, mas é só isso
    Se alguém do GitHub estiver vendo isto, recomendo fortemente adicionar um banner ou modal de alerta de backdoor a essa ferramenta e a outros softwares com backdoors conhecidos (por exemplo, forks)

    • Também é um bom lembrete de que código publicado no GitHub também pode ser malicioso, e que não se deve confiar cegamente só porque o autor parece ter interesses semelhantes
      Eu mesmo já fiz isso várias vezes :(
    • O código-fonte em si parece relativamente limpo, e o recurso de atualização automática também parece estar atrás de uma caixa de diálogo de confirmação
      É muito mais provável que o backdoor tenha sido colocado nos releases binários ou no binário de atualização automática
      Se você compilar por conta própria e depois aceitar a atualização automática, pode ser infectado; e como o binário tem mais de 15 MB, há espaço mais que suficiente para esconder um pequeno backdoor
    • Valeria a pena analisar as contas que deram estrela no getsymbol antes de ele se tornar público
      Se houver pontos em comum com outros projetos obscuros, isso pode ser um sinal de que essas contas são contas fantoche
    • Parece que acabou de sair do ar
    • Denunciei o repositório como malware, então vamos ver como será tratado
  • Fico me perguntando até que ponto sites populares de download são confiáveis
    Por exemplo, os binários do ffmpeg para Windows[1] são hospedados em um site pessoal
    Dá para verificar checksums e afins, mas ainda assim não há garantia de que eles correspondam a um commit específico do Git
    Downloads hospedados fora do GitHub/não oficiais, sem builds reproduzíveis ou comprovados, basicamente me fazem presumir um agente estatal
    Estou sendo paranoico? Como os gerenciadores de pacotes do Linux/Mac resolvem isso?
    [1] https://ffmpeg.org/download.html

    • Mesmo binários publicados no site oficial podem te pegar se o site for hackeado e até os checksums forem alterados
      Isso realmente aconteceu com o Linux Mint
      https://www.trendmicro.com/vinfo/fr/security/news/cybercrime...
    • Por que confiar no GitHub? A ferramenta GetSymbol também recebeu 215 estrelas
      Se você não conferir as issues, ela parece completamente normal
      https://github.com/dbgsymbol/getsymbol
    • O mpv tem o mesmo problema: https://mpv.io/installation/
      O download para Windows é fornecido por "shinchiro", no SourceForge, e o download para MacOS é fornecido por "stolendata", em stolendata.net
    • Os gerenciadores de pacotes do Linux/Mac não resolvem isso compilando os binários a partir do código-fonte e hospedando-os em seus próprios servidores?
    • O termo de busca/buzzword nessa área é builds reproduzíveis (Reproducible Builds)
      Ainda está mais para estágio inicial
  • Não é chocante nem novo, mas é interessante
    Por que usar um 0-day contra um pesquisador de segurança? Meu palpite é que é um teste com vantagens
    Se funcionar contra um pesquisador de segurança, dá para considerar que é uma boa vulnerabilidade e colocá-la em operação; no longo prazo, eles provavelmente também calcularam a chance de obter 1+x 0-days desse pesquisador
    Do ponto de vista do pesquisador de segurança, também é uma situação interessante
    Se ele for cuidadoso o bastante e conseguir se fazer de burro o suficiente, pode colher vetores de ataque novos ou 0-days “de graça”; mas, se superestimar a si mesmo, é comprometido na hora

    • Pesquisadores de segurança geralmente têm mais 0-days
    • Ou talvez o alvo fosse simplesmente os privilégios de acesso que a pessoa tinha
    • Isso com certeza é porque a Coreia do Norte não queria pagar o preço de mercado de um 0-day
  • Essa ferramenta também tem a capacidade de baixar e executar código arbitrário a partir de um domínio controlado pelo atacante
    Em outras palavras, atualização automática
    É irônico que, graças à Big Tech ter condicionado o público a aceitar esse tipo de dependência — ou ter removido as alternativas à força —, agora essa postura dependente e confiante tenha se espalhado até pesquisadores de segurança e voltado para mordê-los
    Alguns de nós sabíamos desde o começo aonde essa atitude levaria, e nem todos éramos pesquisadores de segurança
    Nós apenas vimos outros efeitos negativos de permitir que alguém empurre algo para nossas máquinas e o execute, e ligamos uma coisa à outra

  • Especulação total, mas acabou de sair uma nova atualização de segurança do macOS, e ela inclui isto
    “Impacto: processar uma imagem criada de forma maliciosa pode levar à execução de código arbitrário. A Apple está ciente de um relato de que esse problema pode ter sido explorado ativamente.”
    https://support.apple.com/en-us/HT213906
    Não sou de apostar, mas suspeito que a vulnerabilidade em discussão seja justamente essa

  • O que me intriga é isto:
    Esses norte-coreanos obviamente têm acesso irrestrito à internet, já que isso é praticamente necessário para encontrar 0-day, e também obviamente entendem pelo menos inglês.
    Então como é que eles não acabaram esbarrando em veículos que mostram coisas que a mídia estatal esconde?

    • “Todos os nossos agentes secretos são patriotas leais, e todos os agentes do outro lado são reféns com lavagem cerebral!”
      Na prática, como qualquer serviço de inteligência de outro país, eles certamente recrutam olhando para o patriotismo.
      Essa pergunta é parecida com perguntar por que agentes de inteligência dos EUA, mesmo tendo acesso a informações sobre a Coreia do Norte além da propaganda, não desertam para lá por causa da melhor cobertura de saúde, das escolas sem tiroteios em massa e da melhor gestão de lixo.
      Eles provavelmente não dão valor aos aspectos da sociedade norte-coreana que parecem melhores, nem acreditam que, em determinadas situações, eles sejam de fato melhores.
      Não vejo muito motivo para a inteligência norte-coreana ser diferente.
    • Você acha que a inteligência norte-coreana não conhece o conteúdo da mídia ocidental?
      Provavelmente conhece.
      Há outros meios de controlar essas pessoas; a cenoura são os privilégios dentro da Coreia do Norte, e o chicote são as consequências para elas e suas famílias caso cruzem a linha.
    • Não parece haver muitas opções.
      Ir para um país mais livre é difícil para qualquer norte-coreano, e, por causa da cenoura e do chicote, eles provavelmente também não podem simplesmente parar de hackear.
      É bem provável que sejam monitorados de perto.
      Alguns talvez realmente acreditem na propaganda, e imagino que essas pessoas recebam um tratamento bem bom.
    • Eles podem até ficar mais tranquilos ao ver as coisas absurdas que a máquina de propaganda ocidental despeja sobre a Coreia do Norte.
      Isso não absolve os erros da Coreia do Norte.
    • O excelente podcast da BBC The Lazarus Heist aborda, em certa medida, a vida dos hackers norte-coreanos: https://www.bbc.co.uk/programmes/w13xtvg9/episodes/downloads
      Eles são monitorados de perto nos locais onde trabalham e muitas vezes sofrem ameaças contra suas famílias.
  • Fico me perguntando qual é a probabilidade de um pesquisador de segurança executar um binário do Windows recebido de um desconhecido por chat.
    Antes mesmo de ser algo básico de segurança, hoje isso já é praticamente bom senso.
    Acho mais provável que os pesquisadores tenham ganhado a oportunidade de brincar com esse binário em um ambiente seguro.
    Como o atacante publicou o código-fonte, nem precisariam fazer engenharia reversa.
    São black hats bonzinhos.
    Aliás, alguém consegue encontrar o exploit no repositório linkado? Tenho curiosidade de saber o que ele faz, mas estou com preguiça de vasculhar todos os arquivos.
    O artigo original também poderia ter colocado esse link e explicado com base em quê julgaram que o projeto estava ligado a hackers norte-coreanos.

    • Acontece com muito mais frequência do que você imagina.
      Profissionais jovens de segurança da informação são incentivados a tirar certificações como OSCP e eJPT, e nesse mercado de certificações muitas vezes é preciso comprometer boxes conhecidos.
      Daí surge uma cultura de “ajuda” mútua em servidores do Discord, e parte dessa ajuda vem na forma de binários ou código-fonte ofuscado.
      Eles executam isso no notebook de trabalho de pentest.
      Esse notebook tem chaves SSH para entrar no servidor de elaboração de relatórios e, quando acaba comprometido, a Coreia do Norte passa a ter acesso a dados e vulnerabilidades de empresas privadas dos EUA.
      Talvez eu já tenha visto isso acontecer de verdade.
    • Não é essa a ameaça de que eles falaram.
      O que foi dito é que um documento lido por algum programa explorava um 0-day, e que esse documento foi recebido.
    • Se a pergunta é qual é a base para ligar esse projeto a hackers norte-coreanos, quando se faz attribution com confiança suficiente sem divulgar o método, é bem razoável supor que eles não queiram queimar fontes ou indicadores que ainda possam ser úteis no futuro.
      Se divulgassem, provavelmente deixariam de servir.
    • A frase “os atores de ameaça enviaram arquivos maliciosos contendo pelo menos um 0-day em um pacote de software popular” quer dizer que não era um executável.
    • O ponto central da introdução à segurança é que, em algum momento, todo mundo erra. Todo mundo.
      Se o ambiente de um pesquisador de segurança não for bem projetado, seja por problemas de orçamento ou por descuido, isso realmente acontece, e o atacante consegue chegar muito rápido à parte mais suculenta.
  • Preocupa-me a forma tão tranquila como os pesquisadores fazem attribution dessas campanhas.
    Eles nunca revelam a metodologia de attribution, mas o que os não técnicos mais notam é sempre a attribution.
    Neste artigo, as duas primeiras palavras já são o ator atribuído.
    Só que não há nenhuma forma de provar isso.
    Na internet, attribution é realmente, realmente, realmente difícil.
    Como não temos como julgar de forma independente se acertamos ou erramos, nem sabemos o quão difícil é.
    Seria ingenuidade achar que attribution não tem relação com motivações políticas.

    • A Citlab coopera com vários data brokers privados para obter inteligência comercial de segurança, e isso também é frequentemente referenciado em relatórios.
      Com base nisso, assumo que a attribution seja em geral precisa.
      Mas, dando um passo atrás e olhando objetivamente, parece bastante hipócrita o fato de a fonte dessa inteligência ser invasiva à privacidade.
  • É surpreendente que a Coreia do Norte consiga encontrar hackers e profissionais de cibersegurança avançados suficientes para fazer esse tipo de coisa, apesar de o nível de educação em computação da população em geral ser tão fraco.

    • Pelo que li de especialistas em Coreia do Norte, o país produz hackers de forma deliberada e intensiva.
      Se uma criança norte-coreana demonstra talento em matemática, passa a ser monitorada; se for boa o suficiente, é enviada para uma escola especial de matemática, onde praticamente não aprende mais nada.
      Depois, é encaminhada à única universidade técnica, onde passa anos estudando programação de computadores de forma intensiva.
      Se atingir os critérios, é enviada para a China e usa o melhor acesso à internet para fazer de tudo, de roubo de ouro em MMORPGs a ataques de phishing e busca por 0-day.
      Soa como uma vida sombria: 12 horas por dia, pressão constante por resultados e moradia em dormitórios apertados.
      Então é meio parecido com o Silicon Valley ;)
    • Norte-coreanos ricos ou bem relacionados estudam em várias escolas de elite do Ocidente e da China.
      Até o ditador supremo fez o ensino fundamental II e o ensino médio na Suíça.
    • É quase certo que eles estejam usando o pool de talentos de um dos países vizinhos.
  • “Todos os sites e domínios confirmados no momento da descoberta são adicionados ao Safe Browsing para proteger os usuários contra exploração adicional.”
    No navegador Brave, dbgsymbol.com não mostra aviso do Safe Browsing.
    Alerta: o vetor é desconhecido.

    • O Safe Browsing não serve para detectar hacks; serve para facilitar que o Google monitore os usuários.