Este é um caso clássico onde a invasão foi identificada e ignorada. Isso mesmo, ignorada! Ao entendermos a situação, poderemos nos precaver para não atuarmos com negligência, imprudência, e até mesmo imperícia.
Algumas notícias que veicularam na mídia em 2013 falavam em 40 milhões de contas que tiveram dados expostos na internet, outras falavam em 70 milhões e outras em mais de 100 milhões de clientes com vazamentos de dados. O fato é que milhões de dados de clientes foram expostos, incluindo dados sensíveis, como os cartões de crédito e débito.
Negligência é a falta de cuidado, falta de zelo. Neste caso havia uma responsabilidade que requeria uma ação, e foi ignorada. Imprudência é a falta de reflexão e a precipitação em tomar atitudes diferentes daquelas aprendidas ou esperadas. Imperícia é a falta de conhecimento ou habilidade específica para o desenvolvimento de uma atividade científica ou técnica, incapacidade.
A Target
A Target Corporation Inc é uma grande rede de lojas de varejo dos Estados Unidos, sediada em Minneapolis no estado de Minnesota. Possui mais de 2.000 lojas no conceito de lojas de departamentos e mais de 300.000 funcionários.
O comunicado
Há indícios de que a violação de segurança tenha se iniciado antes, mas o grave ocorrido foi durante o Black Friday de 2013. Em nota na revista Bullseye View, Gregg Steinhafel,CEO da Target na época, informou que o crime foi cometido contra a Target, contra os membros da equipe e contra os clientes, e que a situação estava sendo levada a sério.
Ainda nesta nota, a Target informou que o acesso não autorizado ocorreu nas lojas dos Estados Unidos entre 27 de novembro e 15 de dezembro de 2013, e que as lojas canadenses e a target.com não haviam sido afetadas. Foi informado ainda que nem todos os clientes que compraram neste período foram vítimas afetadas, e que nenhum cliente seria responsável por cobranças fraudulentas. Será mesmo?
A invasão
As informações envolvidas neste incidente incluíam o nome do cliente, o número do cartão de crédito ou débito, a data de vencimento e o CVV do cartão. Só ai já dá para imaginar a dimensão do problema!
Muitos dos detalhes de como a violação ocorreu permanecem obscuros, mas é essencial entender como o ataque aconteceu para que as empresas criem mecanismos para impedir isso no futuro.
Em uma matéria publicada em setembro de 2014, por Thor Olavsrud, escritor sênior de tecnologia, pode-se observar os passos seguidos pelos criminosos. Com base nos relatos do pesquisador chefe da Aorato, Tal Be’ery, que aproveitando os relatórios publicamente disponíveis sobre a violação, em conjunto com sua equipe, catalogaram as ferramentas que os invasores usaram para comprometer a Target.
De acordo com a equipe da Aorato, tudo começou com o roubo das credenciais de um fornecedor de serviços da target, o qual foi infectado por meio de uma campanha de ‘phishing’ por e-mail. Os invasores usaram as credenciais roubadas para obter acesso aos serviços da web hospedados pela Target, dedicados aos fornecedores.
Os criminosos não tinham como executar comandos apenas com os acessos aos serviços web da Target, o que seria necessário para comprometer a máquina, então conseguiram fazer upload de um arquivo, aproveitando uma vulnerabilidade dentro do aplicativo web.
Os invasores disfarçaram o arquivo, componente malicioso, como algo legítimo para ocultá-lo à vista das equipes de segurança. Essa tática de “esconder-se à vista” é uma marca registrada em muitos ataques.
Agora eles tinham a capacidade de executar comandos no sistema operacional, mas continuar avançando exigiria o conhecimento do layout da rede interna da Target. Era preciso encontrar os servidores que continham informações de clientes.
Acredita-se que o alvo foi o ‘Active Directory‘, que contém os dados de todos os membros do domínio, ou seja, usuários, computadores e serviços. Os criminosos conseguiram consultar o ‘Active Directory’ com ferramentas internas do Windows usando o protocolo LDAP padrão.
Os invasores identificaram seus alvos, mas precisavam de privilégios de acesso para afetá-los, de preferência privilégios de administrador. É provável que os atacantes tenham usado uma técnica de ataque bem conhecida chamada ‘Pass-the-Hash’, para obter acesso a um ‘token hash’ que permitiria que eles representassem o administrador do Active Directory.
Em resumo, permitiria que os invasores se mascarassem como um administrador de domínio, mas poderiam ficar inválidos se a vítima alterasse a senha ou ao tentar acessar alguns serviços que exigisse o uso explícito de uma senha.
O próximo passo então foi criar uma nova conta de administrador de domínio. Assim, os invasores puderam usar seus privilégios roubados para criar uma nova conta e adicioná-la ao grupo de administradores, dando à conta os privilégios necessários, além do controle da senha.
Havia mais dois obstáculos no caminho. Um deles era contornar os firewalls e outras soluções de segurança baseadas em rede que limitavam o acesso direto para executar processos remotos em várias máquinas.
Os atacantes usaram então uma ferramenta de scanner de IP para detectar computadores que estavam acessíveis pela rede e depois passaram por uma série de servidores para contornar as medidas de segurança.
Depois que os invasores tiveram acesso aos sistemas de destino, puderam executar remotamente códigos nos servidores comprometidos.
O malware instalado foi usado para verificar a memória das máquinas infectadas e salvar os cartões de crédito encontrados em um arquivo local. Em algumas notícias da época os relatos mostram que a invasão foi até o ponto de venda, ou seja, a plataforma final de comunicação com o cliente.
Em 22 de agosto de 2014, o Serviço Secreto dos Estados Unidos divulgou um comunicado informando que o malware usado para atacar o sistema da Target comprometeu vários outros sistemas no passado, infectando muitas vítimas que provavelmente não sabiam que foram infectadas.
Muitos comentários dizem que a ferramenta da FireEye da Target enviou os alertas para o time de segurança em Bangalore, os quais, avisaram a equipe de segurança em Minneapolis, e então nada aconteceu. O time de segurança não fez nada. Alguns dizem que a diretoria estava mais preocupada em vender, vender e vender; e não deu a devida atenção ao incidente e os alertas. Se isso é verídico ou não, talvez nunca saberemos.
Porém, se estes alertas tivessem sido tratados por alguma das duas equipes de segurança, eles poderiam ter agido cedo o suficiente para evitar que os dados fossem enviados para fora da Target e o incidente poderia ter sido evitado.
O que podemos aprender com este incidente?
O primeiro aprendizado é ter rígidos controles de acessos. Se observarmos os relatos, veremos que os criminosos exploraram vulnerabilidades conhecidas, em resumo, não havia uma aplicação sofisticada desenvolvida para que pudessem invadir o ambiente, parece que apenas o malware foi algo desenvolvido de forma personalizada.
Certamente, deve-se incluir controles de segurança e monitoramento em torno do ‘Active Directory’, pois ele está envolvido em quase todos os estágios do ataque.
Monitorar e identificar padrões de acessos anormais é importante e necessário. Usar autenticação multifatores para sistemas e ambientes sensíveis, assim como limitar o uso de protocolos e privilégios de usuários, irá reduzir os riscos associados ao roubo de credenciais.
Não confie em soluções antimalware como medida principal de mitigação, já que os invasores geralmente utilizam ferramentas de TI legítimas. Ter antivírus em um caso como este, não ajudaria muito, pois o lucro de milhões de dólares faz com que os criminosos não se importem em ter que criar ferramentas sob medida para as invasões.
Em algumas invasões, os criminosos precisam aprender sobre a estrutura e o ambiente, e isso normalmente se dá por meio de consultas. A coleta de informações do ambiente e a análise delas é grandemente válido para as equipes de segurança. O comportamento do ambiente em uma invasão é diferente do comportamento quando se tem conexão de usuários normais.
Se o ambiente tecnológico da empresa tem criticidade alta, então é preciso investir no tratamento de alertas e no correto escalonamento e priorização dos incidentes. Formar parcerias com empresas terceiras, especializadas em segurança, investigação forense etc. Isso pode ajudar a prevenir incidentes.
Nitidamente há uma evolução na natureza dos ataques, alguns com planejamento a longo prazo, complexos e inovadores. Com base nisso, as soluções de segurança devem agir de forma consistente, com recursos avançados, não apenas se limitando à defesa periférica dos sistemas ou bloqueio de vírus em uma base conhecida. As soluções implementadas precisam agir com inteligência e capacidade analítica.
O time de tecnologia precisa estar ciente e bem treinado em relação as ferramentas de monitoramento, ou, do contrário os alertas podem ser ignorados ou não identificados da forma correta. A equipe de TI precisa se manter informada, participar de grupos sobre inteligência cibernética, sobre segurança da informação etc. O conhecimento adquirido pode ser um fator de sucesso na identificação e bloqueio de ataques.
Fonte: ITForum 365