O setor de segurança adora falar de como os ataques podem ser “sofisticados”. Normalmente falam forma de como um ataque é avançado e sofisticado, quais novos métodos foram usados para esconder servidores ou tornar a análise mais difícil, etc. Porém, é fácil esquecer de que nem todos os ataques precisam ser tecnicamente sofisticados; em vez disso, podem estar na engenharia social usada e de como o ataque é realizado.
Por exemplo, poucos meses atrás falamos sobre a campanha Arid Viper, um ataque sofisticado que visava usuários em Israel. Porém, esse ataque bem organizado compartilhou algumas de suas infraestruturas de ataque com o Advtravel, que foi muito menos sofisticado. O Arid Viper foi avançado;o Advtravel foi menos. Como pode ser? Os ataques direcionados não deviam ser o trabalho de agressores instruídos e sofisticados? Esses agressores não deviam ter nada em comum com os cibercriminosos “comuns”?
Vamos pensar nisso um pouco. As habilidades necessárias para realizar um “ataque direcionado” são assim tão diferentes de um ataque de um cibercriminoso comum? Fundamentalmente, não são. Enquanto os cibercriminosos faturam com atividades como fraude de cartão de crédito, não deixam de vender suas habilidades para atacar alvos específicos com um um objetivo planejado em mente. Se for esse o caso, por que não reusariam suas ferramentas existentes? Por que não reusariam a infraestrutura existente?
Mesmo ataques em “grande escala” que têm efeito no mundo real, às vezes, usam ferramentas surpreendentemente simples. Considere o ataque contra o TV5 Monde: Foi realizado usando um malware criado com um toolkit VBScript. Instruções sobre como usá-lo podem ser encontradas no YouTube. Não foi um grande desafio fazer essa ferramenta funcionar corretamente.
A sofisticação desses ataques está na forma como as ferramentas são usadas. Qual engenharia social foi usada para convencer os alvos a abrirem os anexos/links maliciosos? Nenhuma “ameaça persistente” sofisticada é necessária quando uma ferramenta de acesso remoto comum (RAT) pode bastar.
Esses ataques são persistentes e será difícil, se não impossível, para uma empresa bloquear todos. Um agressor não vai se afastar simplesmente porque foi bloqueado uma vez, ou duas, ou até mais vezes. Não há uma solução à prova de balas, infalível, que irá impedir todos os ataques. Então, o que uma empresa pode fazer?
Uma empresa precisa perceber que não pode impedir todos os ataques. O que ela pode fazer é descobrir os ataques que estão acontecendo para que o dano do ataque seja reduzido. Um sistema de detecção de intrusão não é mais um luxo, mas uma necessidade. Ela defende não apenas de ameaças comuns, como RATs, mas também contra ataques direcionados sofisticados. Não há uma ferramenta mágica para lidar com as ameaças atuais; é preciso acompanhar constantemente a tecnologia atual e futura – tanto para fins ofensivos como defensivos – para entender o cenário de ameaças sempre em mutação e as defesas disponíveis.
Ataques Direcionados: Nem sempre se trata de malware (em inglês)
Publicado originalmente por Raimund Genes (Chief Technology Officer) em TrendLabs.