Um grupo de hackers recentemente descoberto, chamado UNC1945, descobriu-se que usa uma vulnerabilidade de dia zero previamente desconhecida contra computadores Solaris OS.
O sistema operacional de propriedade da Oracle é predominantemente usado por grandes empresas em configurações corporativas complexas. Contudo, esse bug de dia zero permitiu que os criminosos invadissem as redes internas. Todas as informações disponíveis são rastreadas no comunicado CVE-2020-14871 e monitoradas pela comunidade de segurança.
Grupo de hackers UNC1945 vai contra sistemas Solaris com bug de dia zero rastreado em CVE-2020-14871
O sistema operacional Solaris é um serviço corporativo implantado principalmente em redes empresariais complexas. É baseado em uma estrutura tradicional do tipo UNIX e, como tal, pode ser usado para vários fins: realizando cálculos complexos, gerenciamento de configurações de rede, ou servindo dados.
O grupo de hackers conhecido como UNC1945 foi descoberto para alavancar diferentes tipos de ataques contra servidores Solaris que estão por trás de redes corporativas. Neste momento, não se sabe muito sobre os hackers, exceto pelo fato de que eles conseguiram utilizar uma vulnerabilidade previamente desconhecida, referido como um bug de dia zero. O relatório de segurança indicando esta violação perigosa vem da equipe de pesquisa da Mandiant. Ataques contra ambientes semelhantes estão aumentando. Recentemente, relatamos que grupos de hackers têm dispositivos Synology como alvo. Seu sistema operacional é um derivado de uma distribuição Linux.
O ponto de intrusão é um desvio do procedimento de autenticação usado pelo sistema operacional, a falha foi detectada pelos criminosos e permitiu que eles instalassem um módulo backdoor chamado SLAPSTICK nos sistemas. Ele é ativado automaticamente após o início da infecção, e executará ações próprias. Os computadores visados foram aqueles expostos à Internet mais ampla.
Contudo, em vez de continuar com a intrusão como a maioria das outras ameaças desta categoria, os hackers instruíram o malware a continuar de uma maneira diferente e muito mais prejudicial.
Hackers UNC1945 usam técnica de infecção complicada contra hosts Solaris
Em vez de continuar com as infecções, aproveitando a porta dos fundos SLAPSTICK para criar uma conexão persistente com o servidor controlado por hacker, os hackers optaram por outro caminho. Os grupos de hackers parecem ter como alvo alvos de alto perfil, pois eles criaram um sistema muito complexo procedimento de desvio de segurança que é projetado para superar as medidas de proteção tomadas pelo sistema e programas instalados pelo usuário: varreduras anti-malware, firewalls, e sistemas de detecção de intrusão. Para evitar a detecção, a sequência maliciosa irá baixar e instalar um host de máquina virtual QEMU. Dentro dele, uma imagem criada por hacker de uma distribuição Linux será executada.
Esta máquina virtual estará acessível aos criminosos e desde que seja pré-configurada por eles, irá permitir que eles executem todos os utilitários contidos. A análise descobriu que eles estão cheios de scanners de rede, programas de quebra de senha, e outras façanhas. A máquina virtual será exposta ao sistema host e permitirá que os hackers executem comandos contra ela, bem como outros computadores que estão disponíveis na rede interna. O fator perigoso é que os ataques podem ser contra todos os tipos de sistemas operacionais, incluindo Microsoft Windows e outros sistemas baseados em UNIX.
As possíveis consequências da intrusão incluem as seguintes ações maliciosas:
- Exclusão de registros — Um programa de malware especial é usado para excluir os registros das ações do vírus.
- Força bruta lateral — A partir da máquina virtual instalada, os hackers podem continuar “craqueamento” outros computadores na rede interna usando as ferramentas implantadas.
- Acesso a arquivos — Todos os dados acessíveis pelo malware podem ser roubados pelos hackers.
- Ao controle — Os hackers podem assumir o controle dos hosts e espionar diretamente os usuários.
Neste momento, acredita-se que os hackers UNC1945 compraram o exploit de um vendedor de hacker underground.. A ferramenta que os hackers usaram (EVILSUN) é provavelmente adquirido desses lugares, permitiu que os criminosos executassem a exploração e plantassem a porta dos fundos.
Claro, seguindo as notícias desta atividade de malware, A Oracle corrigiu o problema em outubro 2020 boletim de atualizações de segurança. No momento, não há informações sobre o número de hosts infectados. Todos os administradores do Solaris são incentivados a aplicar as atualizações mais recentes para impedir que os hackers tentem explorar seus sistemas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: