Ataque Norte-Coreano ScarCruft Usa Zoho e Pen drives para Invadir Redes Blindadas

Um grupo de hackers conhecido como ScarCruft, associado a atividades de espionagem cibernética da Coreia do Norte, tem se destacado no cenário de ameaças digitais com um novo conjunto de ferramentas e táticas de ataque. Recentemente, uma análise realizada pelo Zscaler ThreatLabz, que batizou a campanha de ‘Ruby Jumper’, revelou que o ScarCruft está utilizando uma combinação surpreendente de serviços de nuvem e dispositivos físicos para penetrar em redes que, teoricamente, deveriam ser imunes à internet – as chamadas redes ‘air-gapped’.

O Que São Redes ‘Air-Gapped’?

Redes ‘air-gapped’ são redes de computadores que não possuem conexão direta com a internet ou outras redes externas. Elas são projetadas para proteger informações altamente confidenciais, como dados governamentais, segredos militares ou informações financeiras sensíveis. A ideia é que, ao eliminar a conexão com o mundo exterior, a rede se torne um refúgio seguro contra ataques cibernéticos. No entanto, o ScarCruft demonstrou que essa barreira pode ser quebrada com as técnicas que ele desenvolveu.

Zoho WorkDrive: O Novo Canal de Comando

Uma das inovações mais notáveis do ScarCruft é o uso do Zoho WorkDrive, um serviço de armazenamento em nuvem popular entre empresas. O grupo utiliza o WorkDrive como um canal de comando e controle (C2) para enviar instruções aos dispositivos infectados dentro da rede ‘air-gapped’. Em vez de depender de conexões diretas com servidores na internet, o ScarCruft envia comandos através do WorkDrive, que atua como um intermediário. Isso dificulta a detecção do ataque, pois o tráfego do WorkDrive pode ser mascarado como tráfego de negócios legítimo.

Após o envio do comando, o dispositivo infectado busca payloads (pequenos arquivos de software) adicionais no WorkDrive, expandindo a funcionalidade do malware e aumentando sua capacidade de dano. Essa abordagem permite que o ScarCruft personalize o ataque para cada alvo, adaptando o malware às suas necessidades específicas.

Pen Drives: A Chave para o Isolamento

A segunda técnica inovadora do ScarCruft é o uso de dispositivos USB (pen drives) para relatar comandos e, crucialmente, para penetrar em redes ‘air-gapped’. O grupo instala um malware no dispositivo USB, que age como um canal de comunicação reversa. O dispositivo infectado envia comandos para o pen drive, que por sua vez os transmite para um servidor controlado pelo ScarCruft. Essa técnica é particularmente eficaz porque as redes ‘air-gapped’ geralmente restringem o uso de dispositivos USB, tornando difícil a introdução de malware.

O pen drive, então, pode ser usado para injetar código malicioso na rede, contornando as medidas de segurança tradicionais. A capacidade de usar dispositivos físicos para contornar a segurança de redes isoladas representa um avanço significativo nas táticas de ataque do ScarCruft e de outros grupos de hackers.

Como Funciona o Ataque em Detalhes

O processo de ataque geralmente começa com a identificação de uma rede ‘air-gapped’ que contém informações valiosas. O ScarCruft então utiliza técnicas de engenharia social, como phishing ou exploração de vulnerabilidades em sistemas legados, para instalar um malware inicial no dispositivo de um usuário dentro da rede. Esse malware inicial é responsável por estabelecer a comunicação com o pen drive infectado.

Uma vez que o canal de comunicação reversa está estabelecido, o ScarCruft pode enviar comandos para o pen drive, que os transmite para um servidor C2. O servidor C2, por sua vez, envia payloads adicionais para o dispositivo infectado, que são então executados na rede ‘air-gapped’. O malware instalado pode ser usado para roubar dados, instalar backdoors, ou até mesmo causar danos físicos aos sistemas.

Implicações e Recomendações

A capacidade do ScarCruft de penetrar em redes ‘air-gapped’ tem implicações significativas para organizações que lidam com informações altamente confidenciais. As redes ‘air-gapped’ eram tradicionalmente consideradas seguras, mas agora é claro que elas podem ser vulneráveis a ataques sofisticados. As organizações precisam revisar suas políticas de segurança e implementar medidas adicionais para proteger suas redes ‘air-gapped’.

Algumas recomendações incluem:

• Implementar controles de acesso rigorosos para dispositivos USB.
• Monitorar o tráfego de rede em busca de atividades suspeitas.
• Realizar auditorias de segurança regulares para identificar vulnerabilidades.
• Educar os funcionários sobre os riscos de engenharia social.
• Considerar o uso de soluções de segurança avançadas, como detecção e resposta de endpoint (EDR).

Ataques como o do ScarCruft demonstram a importância de uma abordagem de segurança em camadas, que combine medidas de segurança físicas, lógicas e de conscientização. A segurança cibernética não é apenas sobre firewalls e antivírus; é sobre proteger todos os pontos de entrada e saída de dados.

Conclusão

O ScarCruft continua a evoluir suas táticas de ataque, demonstrando uma capacidade impressionante de adaptar-se a novas tecnologias e contornar medidas de segurança tradicionais. O uso do Zoho WorkDrive e de dispositivos USB para penetrar em redes ‘air-gapped’ representa um avanço significativo nas táticas de invasão e destaca a necessidade de uma vigilância constante e de medidas de segurança proativas. A proteção de dados sensíveis exige uma abordagem holística e adaptável, que leve em consideração as ameaças emergentes e as vulnerabilidades em evolução.