O
bom combate

Há uma batalha sendo travada em nossas redes, e pesquisadores de segurança do mundo todo estão na linha de frente. Veja aqui os bastidores de como nossa equipe de pesquisa de segurança neutralizou uma das maiores ameaças em anos.

Por Eric Adams
Fotografia de Kenny Braun

O que começou como uma simples tarde de domingo em 2015 para o especialista em segurança digital Matt Olney (foto acima) acabou se tornando tudo, menos isso. Ele estava em casa, em Maryland, acomodado no sofá com um computador no colo, fazendo o que ele mais ama: enfrentando criminosos digitais em uma batalha sem fim entre o bem e o mal.

Olney é um dos mais de 250 membros do Cisco Talos, que reúne nossa equipe de elite em pesquisa de segurança para lutar contra maus elementos todos os dias, e defender as redes do mundo inteiro contra as ameaças cada vez mais avançadas dos ataques mal-intencionados.

Naquele domingo específico, Olney configurou o que chamamos de honeypot, um servidor aparentemente inofensivo projetado para atrair supostos invasores graças a senhas extremamente fracas e correções de falhas de segurança desatualizadas. Para camuflar mais ainda sua intenção, Olney fez com que o servidor parecesse estar localizado em Cingapura.

Talvez você se surpreenda em saber que Olney, assim como muitos de seus colegas do Talos, realmente gosta de trabalhar no fim de semana. “Não é por obrigação”, conta Olney. “Sabemos que os criminosos digitais não tiram folga, então por que nós deveríamos tirar?”

O Talos analisa cerca de 1,5 milhão de exemplos de malware todos os dias e ajuda a impedir 7,2 trilhões de ataques por ano. Para isso, o Talos mantém a maior rede de detecção de ameaças do mundo, usando técnicas de prevenção e detecção de ponta desenvolvidas para descobrir e avaliar as tendências mais recentes de atividades de invasão, tentativas de intrusão, malware e vulnerabilidades, e reagir a elas.

No Talos, diversas equipes se unem para se concentrar em diferentes frentes na luta. A equipe de alcance verifica constantemente o surgimento de ameaças. Outras equipes fazem a engenharia reversa de novos malwares e novas vulnerabilidades e criam recursos de proteção para nossos clientes. Há ainda as que se concentram em espalhar a notícia, emitindo relatórios de segurança públicos e se comunicando diretamente com clientes, fornecedores de TI e provedores de serviços, mesmo que sejam concorrentes.

Às vezes, como Olney, eles participam do bom e velho jogo de gato e rato apenas pela diversão. Ele ativou o honeypot e pegou o copo para dar um gole em sua bebida. Sem dar nem tempo de colocar o copo de volta na mesa, ele já percebeu uma tentativa de um acesso.

“Antes mesmo de eu ter completado a instalação do software, vi a primeira tentativa de login sem êxito”, conta Olney.

Em outras palavras, os invasores digitais já estavam testando as defesas do honeypot, tentando se infiltrar e infectar a rede rapidamente. A arma escolhida pelos invasores foi o ataque de força bruta, o que equivale a uma tentativa rápida de bombardeio em sucessão com senhas conhecidas ou comuns, na esperança de obter acesso. “Fiquei surpreso com a rapidez”, diz Olney.

Com um peixe no anzol, ele configurou mais honeypots em uma dúzia de redes distintas em diferentes continentes para ver se conseguia atrair mais invasores e fechar o cerco em torno dos agentes mal-intencionados. Seria impossível associar os honeypots uns aos outros. “Normalmente, configuramos honeypots que fingem ser sistemas de controle industrial, servidores da Web, servidores de busca flexível, servidores de telefonia IP e até bombas de combustível”, explica Olney.

“Não há tráfego legítimo sendo enviado para aqueles honeypots, então o único tráfego vinha dos invasores. Honestamente, foi o assalto a luz do dia mais escancarado que já vimos”.

Craig Williams
Gerente de alcance de inteligência de ameaças

Detetives digitais

Agora começa o verdadeiro trabalho de detetive. Como os honeypots de Olney armazenaram sorrateiramente todas as tentativas de login sem êxito, os analistas do Talos conseguiram ligar as tentativas a “dicionários” de senhas conhecidas, bancos de dados com mais de 450.000 senhas comercializadas com frequência entre hackers on-line.

A equipe de inteligência de ameaças assumiu a tarefa de analisar os padrões de tráfego. A equipe de detecção fez a engenharia reversa do código do Cavalo de Troia DDoS da ameaça. Uma equipe de analistas de dados do Talos identificou mais pistas que poderiam ajudar a fechar o cerco em torno dos invasores.

“Nossos cientistas de dados são especialistas em extrair as nuances dos dados. Eles têm o rigor matemático para compreender a teoria dos conjuntos e os algoritmos de agrupamento para determinar com confiança o “quem”, o “o que” e o “onde” dos ataques”, afirma o diretor sênior Matt Watchinski, veterano em pesquisas de segurança, que lidera o Talos em Columbia, Maryland.

Trabalhando em conjunto, as equipes do Talos identificaram a fonte dos ataques: apenas duas redes em Hong Kong. Após testarem rapidamente alguns nomes interessantes, os membros do Talos chamaram os invasores de SSHPsychos.

A equipe percebeu rápido que a operação da SSHPsychos não era uma operação simples. O Talos e outros especialistas em segurança estimaram que somente a infraestrutura da SSHPsychos custou mais de US$ 100.000 para ser montada. Isso sem contar as despesas operacionais. “A complexidade de alguns dos equipamentos que vemos hoje é inacreditável”, diz Williams.

“Nossos cientistas de dados são especialistas em extrair as nuances dos dados. Eles têm o rigor matemático para compreender a teoria dos conjuntos e os algoritmos de agrupamento para determinar com confiança o “quem”, o “o que” e o “onde” dos ataques”.

Matt Watchinski
Diretor sênior do Cisco Talos

Gato e rato

Após localizar os invasores da SSHPsychos, era hora de ir atrás deles.

O Talos estava pronto. E não estava sozinho. O Talos desenvolveu relacionamentos confiáveis na comunidade de segurança digital, um das quais se provou vital na tentativa de neutralizar a SSHPsychos.

Olney e a equipe compartilharam discretamente o que haviam descoberto com os colegas da equipe de ameaças da Level 3 Communications em Broomfield, no Colorado, um provedor de telecomunicações multinacional que ajuda a compor a infraestrutura de backbone global da Internet.

“Colaboramos com o Cisco Talos para reduzir as ameaças à nossa rede e à rede dos nossos clientes. Trabalhando juntos criamos uma compreensão maior dos agentes mal-intencionados, o que faz com que eles tenham menos sucesso em suas operações”, afirma Mike Benjamin, da Level 3 Threat Research Labs.

Os profissionais da Level 3 entenderam o escopo da ameaça e entraram em ação imediatamente. De acordo com o protocolo de cliente que segue, a Level 3 não podia simplesmente colocar um site na lista negra, independentemente do tráfego que ele estivesse gerando. Em vez disso, eles alertaram a China Telecom quanto às atividades ilícitas na rede deles.

À medida que a investigação rapidamente se expandiu, os invasores a descobriram de alguma forma. Quase que imediatamente a SSHPsychos ficou silenciosa, tornando impossível pela primeira vez que o Talos seguisse seu rastro.

Em um dia, esses invasores estavam gerando um terço da atividade de SSH do mundo. No outro, eles sumiram. E, junto com eles, talvez a chance de detê-los.

“No Talos, é nosso trabalho juntar as pessoas e garantir que elas estejam bem-informadas à medida que as ameaças evoluem. Estamos juntos nisso.”

Joel Esler
Gerente de inteligência de ameaças
do Cisco Talos

Esler tem várias funções no Talos. Além de trabalhar com a segurança pública, ele também lidera uma equipe que gerencia várias comunidades de segurança de código aberto, entre elas o Snort, o sistema de detecção de invasão universalmente aclamado e criado por Martin Roesch, que fundou a Sourcefire. Quando a Sourcefire se juntou à Cisco em 2013, o Snort veio junto. A equipe de Esler também gerencia o TalosIntel.com, por onde o Talos compartilha informações com o público.

“No Talos, é nosso trabalho juntar as pessoas e garantir que elas estejam bem-informadas à medida que as ameaças evoluem", afirma Esler. “Estamos juntos nisso.”

O Talos e a Level 3 estavam prontos para ir atrás dos invasores novamente. Desta vez, eles não foram tão educados.

Em 7 de abril de 2015, a Level 3 adotou a surpreendente medida de colocar na lista negra, ou bloquear, todo o tráfego da SSHPsychos em suas redes globais. Eles também entraram em contato com outros provedores de Internet e recomendaram que fizessem o mesmo.