Home > Tendências

Que lições podemos tirar com as recentes invasões às redes de operadoras?

Assim como um bom alpinista planeja sua escalada em várias etapas, grupo APT10 fez seus movimentos com lentidão planejada, porém contínua

Por Leonardo Scudere*

05/07/2019 às 11h36

Foto: Shutterstock

Recentemente veio a público pelo Wall Street Journal os detalhes de uma sequência de ataques contra dez das maiores operadoras de telecomunicações mundiais orquestrados supostamente por hackers chineses. Nos livros "Risco Digital" e "Risco Digital na Web 3.0", descrevo como chegaríamos a um momento em que países e empresas, por motivações e objetivos diversos, iriam prover recursos suficientes para estruturar equipes altamente capacitadas a ações defensivas e ofensivas envolvendo estratégias no domínio cibernético.

Em “Duplicidade”, filme de 2009 com Julia Roberts e Clive Owen no elenco, duas empresa diretamente concorrentes tentam desesperadamente antecipar-se uma a outra visando obter vantagem competitiva de mercado. Este é só um exemplo do cinema que espelha a realidade. Temos similar dinâmica nos exércitos cibernéticos dos principais países do G7 - talvez G20. São ações de inteligência competitiva, espionagem industrial e intelectual ou associadas com negociações em curso nos âmbitos geopolíticos e/ou comerciais.

A sofisticação destas equipes e as ferramentas disponíveis para lançar estes ataques, que prefiro chamar de “campanhas”, evoluíram a ponto de permitir a persistente busca granular por alvos muito específicos. Neste caso, um dos mais ativos grupos de origem chinesa, de acordo com a reportagem do Wall Street Journal, conhecido como APT10 efetuou quatro fases desta campanha entre 2018 e 2019.

Da mesma forma que, quando se concebia segurança como um elemento de bloqueio/restrição, tornou-se irrelevante apenas conceber barreiras como defesas efetivas, pensando-se num movimento contínuo. Supostamente, o APT10 após inserir um malware nas operadoras obteve o primeiro acesso e desta forma passou a roubar credencias digitais valiosas para seus movimentos seguintes.

Assim como um bom alpinista planeja sua escalada em várias etapas e alturas para adaptação, o APT10 fez seus movimentos com lentidão planejada, porém contínua. Uma boa analogia seria pensar nestas técnicas sofisticadas de campanhas como decidir por usar um pequeno avião que consegue voar abaixo das linhas dos radares ao invés de outras armas mais agressivas porem perceptíveis.

Dois meses após a primeira fase, veio uma segunda expandindo as ações anteriores e podendo visualizar com mais amplitude as redes das operadoras além de iniciar e extração de dados target. Três meses após veio a terceira fase com variações do malware e o início dos movimentos laterais. Voltando a questão do bloqueio ou contenção como algo relevante a segurança cibernética.

Temos toda uma indústria, similar na segurança físico-eletrônica, preparada para detectar e gerar alarmes às centrais de comando e controle, quando invasões continuam ocorrendo. Isto ate então poderia ser considerado como uma “boa/efetiva” segurança.

O APT10, porém, assim como outros grupos similares nos demais países, tem capacitação para ultrapassar com relativa facilidade esta primeira linha de defesa (entrar num edifício/residência, por exemplo) sem que todos os dispositivos de contenção sejam acionados. A grande maioria dos sistemas de defesas ao não detectar este movimento, deixam de ter qualquer outra função.

A sofisticação do APT10, tendo obtido o acesso interno as operadoras, passou as etapas de reconhecimento amplo das redes até chegar aos objetivos específicos. Seria como se o invasor, após não ser detectado pelos bloqueios, entrasse numa instalação física, andasse pelos andares, visitasse calmamente as salas de trabalho, reuniões, depósitos (sempre sem ser percebido e seguindo a técnica “low-slow”) até chegar numa determinada sala onde se encontra num armário um único documento específico.

Durante todo este período, provavelmente foram gerados centenas de alertas para a sala de comando e controle, mas, em meio a milhares de alertas por dia de como identificar este “low-slow”, aparentemente de menor criticidade pelos algoritmos, que foram ignorados pelas equipes de defesa. Situação muito similar a que ocorreu no caso da Equifax; também foram gerados alertas, porém em meio à imensidão de alertas, como identificar aquele crítico (tecnicamente de baixo impacto) para aquela campanha não linear em curso?

Finalmente após mais um mês, veio a quarta fase onde o APT10 foi capaz de criar acessos remotos via VPN’s e extrair uma quantidade muito maior de dados além de ter amplo acesso as redes.

Aprendemos que a geração por si só de alertas tornou-se ineficaz, seja pela sua lógica racional (alto-médio-baixo risco) seja pela ausência de correlação com histórico de eventos similares. Os algoritmos de machine-learning e inteligência artificial tornaram-se críticos para captar estes sutis movimentos atemporais dos hackers nos sistemas. A lógica humana tende a descartar após um determinado período uma sequência de tentativas de ataques, com o pensamento que o atacante foi vencido ou desistiu do alvo. Voltando a analogia do alpinista, os movimentos ascendentes são feitos em etapas, talvez voltando à posição anterior para retomar a subida ao objetivo final.

Considerando que APT10 teve êxito contra 10 das maiores operadoras de telecomunicações mundiais, seria difícil imaginar, neste momento, resultado diferente caso os alvos tivessem sido empresas e/ou governos de outros segmentos ou países.

*Leonardo Scudere possui ampla experiência em segurança cibernética e gestão de riscos tendo atuado como executivo líder na Oracle, IBM Latin América, Computer Associates (CA) além de ter introduzido na região empresas inovadoras como Check Point, Internet Security Systems, NetWitness, Archer, Mandiant, NARUS (Boeing Defesa), BRS Labs, VidSys, SS8 entre outras. Foi também o fundador e primeiro presidente do Capítulo Brasileiro da HTCIA (High-Tech Crime Investigation Association). É, atualmente, diretor executivo e fundador da Cyberbric Solutions

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail