Foi detectado um grupo de hackers muito experiente que invadiu redes e firewalls usando um malware chamado Trojan Asnarok, também conhecido como Asnarök.
Este é um ataque coordenado muito recente, marcado como altamente destrutivo. Foi feito um grande esforço para analisar as capacidades e os danos do cavalo de Troia nas redes de vítimas.
Os ataques do Trojan Asnarok: a infecção inicial
Na semana passada, vários ataques de alto impacto foram feitos contra a infraestrutura de rede e firewalls, protegendo-os de vários proprietários de empresas. A investigação mostra que a fonte inicial de infecções parece ser causada por um bug de injeção SQL desconhecido. O resultado de uma exploração bem-sucedida é o lançamento de um ataque ao firewall que protege a rede de destino.
Essa tática fornece duas suposições muito importantes relacionadas aos hackers por trás da operação de Trojan. A primeira é que o alvo provavelmente é bem pesquisado pelo grupo criminoso — parece que os hackers descobriram um bug perigoso que aprenderam a explorar. Para executá-lo, será necessário verificar se o sistema possui todos os requisitos: um servidor de banco de dados executando a versão de software necessária e um firewall conectado que pode ser explorado. Tudo isso pode ser feito iniciando verificações manuais ou usando kits de ferramentas de hackers complicados carregados com as variáveis e opções necessárias. Também é possível que tudo isso seja feito pelo próprio Trojan Asnarok.
A análise das operações de Trojan mostra que a injeção de SQL é realmente um código de uma linha que é colocado em um dos bancos de dados existentes. Isso fará com que o seridor de banco de dados recupere um arquivo de um servidor controlado por hackers, hospedado em um nome de domínio que parece muito seguro e legítimo para os administradores, pois representa um fornecedor de firewall. O arquivo é o conta-gotas real, responsável pela instalação e operação do Trojan. O arquivo é descartado em uma pasta temporária projetada para armazenar arquivos que nem sempre são usados pelo sistema, modificado para ser executável por usuários e processos e iniciá-lo.
Trojan Asnarok desencadeado: Impacto nos sistemas
Assim que o script de instalação for acionado nos computadores contaminados, a primeira ação será executar uma série de comandos SQL. Eles são projetados para modificar ou excluir certos valores armazenados nas tabelas do banco de dados, um deles é a exibição do endereço IP administrativo do dispositivo contaminado. Segundo os pesquisadores, isso é feito para ocultar a presença da infiltração.
O script do instalador da carga útil iniciará outros dois scripts separados que serão baixados e executados da mesma pasta temporária. Suas ações serão modificar a configuração dos firewalls implantados, serviços de tempo de inicialização e outros aplicativos em execução. Um mecanismo adicional que é executado pelo mecanismo é o instalação persistente de todo o código de malware. Sempre que o dispositivo é iniciado, os scripts são iniciados. Alguns aplicativos e serviços comuns em execução podem ser interrompidos ou modificados. Um dos scripts será estabelecer a conexão Trojan que conectará a máquina seqüestrada a um servidor remoto de onde um programa será baixado. Isso executará um firewall de malware que substituirá o software em execução padrão.
As conseqüências das ações do Trojan incluem roubo de dados que pode incluir conteúdo do banco de dados e dados do sistema da máquina. As informações coletadas podem ser usadas para criar um ID exclusivo, com base nos dados extraídos. A análise completa do Trojan Asnarok parece seqüestrar os seguintes dados: endereço IP público, chave de licença do firewall, Informações da conta de usuário SQL, senhas de administrador, Usuários e políticas de VPN. Os dados coletados serão arquivados usando o comando tar e depois criptografado usando OpenSSL. O arquivo resultante será enviado aos hackers através da conexão de rede Trojan.
Logo após a infecção inicial, o fornecedor lançou um patch para todos os dispositivos vulneráveis. As atualizações automáticas dos firewalls devem ser ativadas para que o arquivo seja recuperado da empresa e aplicado automaticamente. Para mais informações, referem-se ao relatório inicial.