Por anos, os hackers do Lazarus Group da Coréia do Norte saquearam e saquearam a Internet global, enganando e infectando dispositivos digitais em todo o mundo por espionagem, lucro e sabotagem. Uma de suas armas de escolha: o chamado carregador, que permite executar clandestinamente uma variedade diversificada de malware em Macs direcionados, sem deixar rastro. Mas o Lazarus não criou o carregador por conta própria. O grupo parece ter encontrado o local on-line e o redirecionou para aumentar seus ataques.
A realidade da reutilização de malware está bem estabelecida. A NSA supostamente reutiliza malware, assim como hackers patrocinados pelo estado da China, Coréia do Norte, Rússia e outros países. Mas na conferência de segurança da RSA em São Francisco, na terça-feira, o ex-analista da Agência de Segurança Nacional e pesquisador da Jamf Patrick Wardle mostrará um exemplo particularmente convincente de quão reutilização de malware onipresente e extensa realmente é, mesmo em Macs – e quão importante é tomar ameaça a sério.
“Você pega o malware que outra pessoa criou, analisa e depois o reconfigura para poder reimplantá-lo”, diz Wardle. “Por que você desenvolveria algo novo quando agências de três letras e outros grupos estão criando malwares incríveis, com todos os recursos, testes e muitas vezes já foram testados na natureza?”
“Os programadores do Grupo Lazarus pesquisaram no Google ou viram a apresentação.”
Patrick Wardle, Jamf
Pesquisadores viram o Lazarus Group usando iterações iniciais do carregador em 2016 e 2018, e a ferramenta continuou a evoluir e amadurecer. Depois que o Lazarus engana a vítima para instalar o carregador – normalmente por meio de phishing ou outro golpe -, ele é direcionado ao servidor do invasor. O servidor responde enviando software criptografado para o carregador descriptografar e executar.
O carregador Wardle examinado é especialmente atraente, porque foi projetado para executar qualquer “carga útil” ou malware que recebe diretamente na memória de acesso aleatório do computador, em vez de instalá-lo no disco rígido. Conhecido como um ataque de malware sem arquivo, isso torna muito mais difícil detectar uma invasão ou investigar um incidente posteriormente, porque o malware não deixa registros de que alguma vez foi instalado no sistema. Wardle ressalta que o carregador, uma ferramenta de ataque de “primeiro estágio”, é independente da carga útil, o que significa que você pode usá-lo para executar qualquer tipo de ataque de “segundo estágio” que desejar no sistema de um alvo. Mas Lázaro não apresentou todos esses truques impressionantes.
“Todo o código que implementa o carregador na memória foi retirado de um post do blog Cylance e do projeto GitHub, onde eles lançaram algum código-fonte aberto como parte da pesquisa”, diz Wardle. A Cylance é uma empresa de antivírus que também realiza pesquisas de ameaças. “Quando eu estava analisando o carregador do Lazarus Group, encontrei basicamente uma correspondência exata. É interessante que os programadores do Lazarus Group tenham pesquisado no Google isso ou tenham visto a apresentação sobre ele na conferência Infiltrate em 2017 ou algo assim.”
Essa reutilização ilustra os benefícios para os invasores de reciclar ferramentas sofisticadas de malware – sejam provenientes de agências de inteligência ou de pesquisa de código aberto. A ferramenta de hackers roubada do Windows EternalBlue, desenvolvida pela NSA e depois roubada e vazada em 2017, foi infamevelmente usada por praticamente todos os grupos de hackers existentes, desde a China e a Rússia até organizações criminosas. Mas, embora a reciclagem seja uma prática amplamente conhecida por hackers, Wardle ressalta que apenas conhecer abstratamente não é suficiente. Ele argumenta que os profissionais de segurança precisam se concentrar significativamente na mecânica do processo para que possam superar as deficiências das proteções existentes e dos métodos de detecção de malware.
Adote defesas baseadas em assinaturas, que funcionam essencialmente com a impressão digital de programas maliciosos e adicionando esse identificador a uma lista negra. As ferramentas regulares de verificação de antivírus e malware que dependem de assinaturas geralmente falham em sinalizar malware reutilizado, porque mesmo os pequenos ajustes que um novo invasor faz para alterar a “assinatura” do programa.