Platinum Nugget. image Source: Wikipedia
Existem basicamente dois tipos de equipes de hackers. O primeiro tipo é depois lucro rápido, números de cartão de crédito de colheita e dados bancários. O segundo tipo é mais perigoso, mesmo que não afete diretamente a situação financeira das vítimas, pois se concentra na espionagem de longo prazo.
Além disso, os alvos dessas equipes de hackers geralmente são organizações governamentais, agências de inteligência e defesa, ou mesmo provedores.
Histórias relacionadas:
Hot Potato Exploit põe em perigo as versões recentes do Windows
Como solucionar problemas com o Windows Update
A Bíblia de Segurança do Windows do usuário em Updates e Defeitos
Agora, imagine que existe uma equipe de hackers em particular que está atacando todos os itens acima, e tem sido tão persistente que mesmo a equipe de caça avançada de ameaças do Windows Defender da Microsoft não está nem perto de identificar a equipe.
Uma olhada nos ataques da equipe de hackers PLATINUM
Esta equipe de hackers foi rotulada como PLATINUM, seguindo a tradição da Microsoft de nomear grupos de ameaças após compostos químicos.
Os membros da PLATINUM aplicaram inúmeras técnicas ao longo do tempo, e exploraram muitas vulnerabilidades de dia zero para invadir o sistema das vítimas e infectar suas redes. A Microsoft acaba de lançar um relatório detalhado descrevendo o armamento da PLATINUM, e é publicado em Microsoft Technet.
Uma das técnicas é particularmente interessante – ele emprega os recursos do Windows contra… janelas. Isso se chama hotpatch:
Hotpatching é um recurso do sistema operacional com suporte anteriormente para instalar atualizações sem precisar reinicializar ou reiniciar um processo. Requer permissões de nível de administrador, e em alto nível, um hotpatcher pode aplicar patches de forma transparente a executáveis e DLLs em processos em execução ativa.
O Hotpatching da Microsoft Alavancado
O hotpatching foi originalmente introduzido no Windows Server 2003. A equipe avançada de hackers usou hotpatching contra o Windows Server 2003, Pacote de serviço 1, Windows Server 2008, Windows Server 2008 R2, Windows Vista e Windows 7. Hotpatching não está disponível no Windows 8 mais, enquanto o Windows 10 não é propenso a tais ataques em tudo.
A investigação da Microsoft aponta que a PLATINUM está ativa desde 2009, visando principalmente organizações governamentais, agências de inteligência e provedores de telecomunicações no sul e sudeste da Ásia.
O grupo desenvolveu recursos avançados e, não surpreendentemente, técnicas sub-reptícias que os ajudam a permanecer indetectáveis e bem-sucedidos em todos os ataques. O pior é que campanhas de ciberespionagem “silenciosas” podem estar acontecendo em um longo período de tempo, sem a menor suspeita.
Uma das amostras investigadas pela equipe de profissionais da MS não apenas suportava hotpatching, mas também aplicava técnicas de injeção de código mais comuns, incluindo os listados abaixo, em processos comuns do Windows, como winlogon.exe, lsass.exe e svchost.exe:
CreateRemoteThread
NtQueueApcThread para executar um APC em um thread no processo de destino
RtlCreatUserThread
NtCreateThreadEx
Foi Realmente pego de surpresa?
Como apontado pela Arstechnica, a comunidade de TI foi avisada sobre o emprego de hotpatching em cenários maliciosos em 2013 na SyScan. É quando o pesquisador de segurança Alex Ionescu descreveu as maneiras como o hotpatching pode ser aplicado para modificar sistemas para injetar malware sem a necessidade de injetar DLLs. Os pesquisadores recentemente twittaram que “Meu SyScan 2012 ataque de hotpatching agora usado na natureza!”, link para o artigo Technet da Microsoft sobre PLATINUM.
A Microsoft ainda está “procurando a platina”. Obviamente, eles não têm ideia de quem está puxando as cordas dessas operações persistentes de espionagem cibernética. Ainda não está claro por que a empresa não fez nada para evitar ataques de hotpatch. A equipe avançada de caça a ameaças do Windows Defender definitivamente deveria ter visto isso acontecer.
Sem falar que em 2006, durante a conferência Black Hat, O pesquisador de segurança Alex Sotirov descreveu o funcionamento interno do hotpatching e também falou sobre como terceiros sugeriram patches para vulnerabilidades do Windows antes do lançamento de correções oficiais.