As chamadas explorações de dia zero – hackers técnicas que tiram proveito de falhas secretas de software – já foram o cartão de visita dos hackers mais sofisticados. Hoje, porém, o mapa global de hackers de dia zero se expandiu muito além dos Estados Unidos, Rússia e China, à medida que mais países do que nunca compram um espaço nele.

A empresa de segurança e inteligência FireEye divulgou hoje uma análise abrangente de como zero dias foram explorados em todo o mundo nos últimos sete anos, atraindo dados de relatórios de outras organizações de pesquisa de segurança, bem como o banco de dados do Google Project Zero com zero dias ativos. O FireEye conseguiu vincular o uso de 55 dessas técnicas secretas de hackers às operações patrocinadas pelo estado, chegando ao ponto de nomear o governo do país que acredita ser responsável em cada caso.

O mapa e a linha do tempo resultantes, com uma contagem de quais países usaram mais dias zero na última década, estão longe de serem abrangentes. Países como os EUA quase certamente usaram zero dias que permanecem sem serem detectados, reconhece a FireEye, e muitos outros não podiam ser presos com certeza a nenhum país em particular. Mas mostra como a coleção de países que usa essas técnicas de hackers agora inclui jogadores menos esperados, como Emirados Árabes Unidos e Uzbequistão.

Essa proliferação, argumenta a FireEye, deve-se, pelo menos em parte, a uma crescente indústria de hackers contratados que desenvolvem ferramentas de dia zero e as vendem para agências de inteligência em todo o mundo. Qualquer nação com dinheiro pode comprar, em vez de construir, habilidades de hackers relativamente sofisticadas. “Desde cerca de 2017, o campo realmente se diversificou. Acreditamos que isso seja pelo menos parcialmente devido ao papel dos fornecedores que oferecem recursos ofensivos contra ameaças cibernéticas”, diz Kelli Vanderlee, gerente do grupo de análise de inteligência da FireEye. “A maior barreira entre um atacante e um dia zero não é habilidade, mas dinheiro.”

Especificamente, o FireEye aponta para o NSO Group, Gamma Group e Hacking Team como o tipo de contratados que permitiram que um novo quadro de países comprasse seu caminho no campo de hackers de dia zero. Os zero dias do NSO Group, por exemplo, apareceram nas mãos de grupos de hackers focados em espionagem que se acredita estarem associados aos Emirados Árabes Unidos, como Stealth Falcon e FruityArmor. Três desses mesmos dias zero vinculados ao NSO também foram usados ​​por um grupo chamado SandCat, associado à agência de inteligência do Uzbequistão, conhecida como SSS. (O SSS notoriamente repressivo provou ser tão inexperiente que instalou o antivírus Kaspersky em algumas das mesmas máquinas usadas no desenvolvimento de malware, expondo suas próprias operações.)

De 2012 a 2015, por outro lado, o FireEye empatou todos, exceto três dos 26 dias zero que poderia atribuir à Rússia e à China. A empresa ligou a Coréia do Norte, a França e Israel a outro dia zero durante esse período.

À medida que jogadores menores obtêm mais acesso a zero dias, os ciberpoderes de primeira linha estão realmente usando menos deles, a análise da FireEye parece mostrar. Sua linha do tempo lista apenas dois dias zero associados à China nos últimos dois anos e nenhum vinculado à Rússia. Vanderlee, da FireEye, argumenta que a China e a Rússia optaram amplamente por usar outras técnicas em suas operações de hackers, que muitas vezes são mais eficientes e negáveis: ferramentas de phishing e hackers de mercadorias, credenciais roubadas e outras táticas de “viver fora da terra” que abusam dos recursos existentes para se mover redes de vítimas e as chamadas explorações “um dia”. Os hackers sofisticados costumam fazer engenharia reversa de atualizações de software para desenvolver rapidamente ataques antes que as correções sejam generalizadas. É um processo mais barato e demorado do que procurar vulnerabilidades do zero.

“Poucas horas após a divulgação de uma vulnerabilidade, eles podem criar uma exploração e usá-la”, diz Vanderlee. “Esperar que as vulnerabilidades sejam divulgadas dessa maneira pode ser um estrondo maior para a sua estratégia de investimentos para esses atores, porque eles não precisam investir recursos para encontrar um dia zero analisando o código do software”.



Fonte