Em abril, a empresa responsável pela criação de tokens de segurança, RSA, admitiu que uma brecha no seu sistema permitiu que crackers tivessem acesso a dados que possibilitaram um ataque recente a empresa, fornecedora de tecnologia e material bélico para o governo dos Estados Unidos, Lockheed Martin.

Apesar disso ter comprometido a segurança de todos os clientes da RSA, a Lockheed Martin e a Northrop-Grumman foram as únicas empresas, até o momento, prejudicadas pelo ataque. No Brasil, o sistema é utilizado por diversos bancos, inclusive.

Tokens de segurança da RSA

Tokens de segurança da RSA

O pessoal da F-Secure, empresa de segurança responsável pelo anti-vírus homônimo, descobriu que esse ataque foi causado de uma forma não tão difícil assim: engenharia social.

Para quem não sabe o que significa: é quando um indivíduo assume a identidade de outra pessoa ou empresa, afim de enganar a vítima. Conhecemos bem isso, com os famosos ataques de Phishing (aqueles famosos e-mail de bancos que você não tem conta ou do GMail avisando que sua conta será removida se não baixar um software de ativação da conta).

Desde abril, quando o ataque foi notificado, a F-Secure já sabia que o ataque foi direcionado para os funcionários da EMC (a empresa é a controladora da RSA) e o e-mail continha um arquivo chamado 2011 Recruitment plans.xls. Esse arquivo, no entanto, não tinha sido encontrado por ninguém ainda, até que um funcionário da F-Secure, analisando um banco com milhares de malwares, descobriu que alguém (provavelmente da RSA ou EMC) fez o upload do arquivo do Outlook para o Virus Total.

Virus Total

Análise do Virus Total no arquivo infectado

O e-mail foi enviado para diversos funcionários da EMC, como se fosse da empresa de currículos (tipo a Catho) Beyond.com, com o assunto 2011 Recruitment plans, e com apenas uma linha de texto (o texto foi traduzido):

Encaminho esse arquivo para a sua análise. Por favor, abra e analise.

Conteúdo do arquivo infectado

Conteúdo do arquivo infectado

No caso, o arquivo contém um Flash anexado que executa esse [x] da foto acima. Como o Excel possui suporte à Flash (e eu refaço a pergunta que o time da F-Secure fez: por que diabos o Excel possui suporte a Flash?), ele se aproveita de uma vulnerabilidade existente no Adobe Flash Player e que afeta todos os sistemas operacionais e executa um backdoor no sistema (o backdoor utilizado foi o Poison Ivy, que permite basicamente o controle total da máquina infectada), o exploit então fecha o Excel e a infecção está “completa”.

Depois disso, o backdoor conecta em um domínio utilizado em diversos ataques de espionagem. Após a conexão ter sido completa, o cracker então tem acesso completo ao computador.

Tendo em vista que isso foi um “ataque do zero dia“, ou seja, que o desenvolvedor ainda não teve a oportunidade de lançar nenhuma correção, tanto a Adobe quanto a Microsoft e a própria EMC não tiveram a oportunidade de corrigir essa vulnerabilidade a tempo.

Ou seja, era preciso confiar no fator segurança, sobre o qual os próprios funcionários deveriam ter sido alertados (e educados). O ataque foi feito de forma simples — a inteligência dos crackers explorando as vulnerabilidades existentes e o exploit foram sim, avançados (como o próprio time da F-Secure afirmou).

Com informações do Olhar Digital e F-Secure

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

EMC
Acho que não é válido questionar a funcionalidade do Flash no Excel, com certeza alguém tem alguma utilidade para isso (ou não, rsss), mas a grande questão é, como funcionários de uma empresa de segurança caem em armadilhas tão básicas de engenharia social. É fato que sabemos que este é o tipo mais comum de ataque e já estamos sendo alertados sobre isso a pelo menos uns 10 anos, então porque diabos as empresas não investem mais neste tipo de capacitação? fica a dúvida!
Turdin
Vai que é #yodafeelings
Gabriel
O Calc não tem suporte a Flash? Acho que estou seguro, então.
John
Er.... Y U NO * :D
John
E daí que o Youtube tem versão HTML5? Faça uma pesquisa entre os usuários do Youtube pra ver quantos conhecem HTML5 e quantos pensam nisso na hora de assistir o vídeo. Garanto pra você que a maioria esmagadora não faz ideia do que isso seja, e simplesmente abre o vídeo (em Flash), assiste e pronto.
@juninho_farias
Eu já discordo. A melhor definição de cracker é : mente brilhante entediada e sem valores morais. Sim, eu tenho que admitir: A inteligência dos crackers são sim motivos para admiração. Porém eles não podem de forma alguma serem tidos como heróis, já que o modo como eles utilizam a sua inteligência não são atitudes para se espelhar. E eu repito a pergunta: Por que diabos o Excel tem suporte a Flash?
Tchones
Excel tem suporte a Flash para rodar joguinhos sem o chefe e o antivirus perceberem \o/
@brunermanx
A maior questão nem é do Flash ser seguro ou não mas sim... PRA QUE O EXCEL TEM SUPORTE A FLASH? Um ataque foi originado graças a um recurso totalmente desnecessário do Excel.
Yangm
Youtube/outros possuem a versão html5, quan não tem a gente pega o vídeo no código de fonte. Canvas Rider e Angry Birds são ótimos jogos programados em html5. Basta ter paciência que aparece mais.
Yangm
Youtube/outros possuem a versão html5, quan não tem a gente pega o vídeo no código de fonte. Canvas Rider e Angry Birds são ótimos jogos programados em html5. Basta ter paciência que aparece mais.
Caio Furtado
Excel, U Y NO RODA HTML5?
Turdin
Espero que você compre todas essa palavras que diz, não assitindo videos no youtube/outros, não jogando nenhum jogo em flash, entre outras coisas =]
Marcelo
Depois, tem gente que ainda defende o Flash... a internet sempre foi melhor sem ele!
Luiz Alberto Franco
O principal culpado foi o flash mesmo. Agora, flash no excel???? WTF?
Breno Caldeira
Caraca, esse ataque foi genial. A melhor definição de cracker que consigo ter é: mente brilhante entediada. E já dizia a minha avó: Mente vazia, oficina do diabo
Exibir mais comentários