Nova descoberta, malware Madi traz discussão sobre uso do termo APT

Pesquisadores de segurança do Kaspersky Lab e do Seculert divulgaram, nesta semana, a presença de uma ferramenta de ciberespionagem conhecida como Madi. O malware foi, rapidamente, adicionado à crescente lista de cavalos de troia que são classificados como advanced persistent threats (APTs, ou ameaças persistentes e avançadas). Contudo, algumas coisas em torno dessa nova descoberta não são tão avançadas, o que trouxe quesiotnamentos sobre o que constitui essa linha chamada de APT.

“Vimos vários ataques do tipo ‘APT’ nos quais o ‘A’ não é aplicável”, disse Roel Schouwenberg, pesquisador senior da Kaspersky, referindo-se ao conceito de “avançada” dado a essas ameaças persistentes. O especialista adicionou não gostar do termo por conta da confusão que ele causa. “[Estes ataques são] persistentes, mas apenas isso. Mas como podemos ver, como no Madi, a persistência por ela mesma ainda o pega em algum lugar.”

O Madi também é classificado como APT porque seus ataques também são direcionados a roubo industrial, por meio de posse IP. Uma vez em um sistema, o Madi é capaz não somente de roubar dados de Windows infectados, mas também de monitorar e-mail e mensagens instantâneas, gravando áudio, capturando senhas e tirando screenshots do computador. Pesquisadores da Seculert e Kaspersky trabalharam em conjunto durante oito meses para compreender os comandos e controles de servidores do malware. Os esforços desobriram um ataque feito contra mais de 800 vítimas no Irã, Iasrael e outros países ao redor do mundo. A maior parte das vítimas eram pessoas de negócios que atuavam em projetos críticos de infraestrutura desses países.

Para infectar os computadores, os invasores se valiam de engenharia social, que convenciam a abrir slideshows de Power Point contendo arquivo malicioso. Diferentemente do Flame e do Stuxnet, o ataque não entrou por uma exloração Zero Day, e até o momento não há evidências de que ele tenha sido criado a mando de um outro país.

Paciência

A diferença notável entre APTs e o cibercrime comum é o foco e a paciência, explica Richard Wang, diretor do Sophos Labs. “As fontes adicionais de um invasor APT podem prover ferramentas que são inacessíveis a outros hackers, como por exemplo  certificados compromissados de vulnerabilidade Zero Day”, disse. “No entanto, algumas outras ferramentas que eles usam podem ser aquelas mais comuns usadas em ataques quando tentam navegar em uma rede alvo.”

Aviv Raff, CTO da Seculert, concorda que as mesmas ferramentas são às vezes usadas pelos dois tipos de invasores, mas adicionou que aqueles que se valem de APTs também utilizam malwares personalizados para suas operações. Hackers oportunistas, por outro lado, tendem a utilizar os mesmos kits de ameças e não investir em desenvolvimento, adicionou.

No caso do Madi, a palavra “P” do termo APT – que se refere a persistente – é o fator-chave, argumenta. “Se o ataque ficou fora de radar por tanto time deveria ser considerado um APT… o foco no APT não é sempre o motivo, mas a sim a habilidade de ter um ataque discreto e de sucesso ao longo de um período de tempo”, disse.

Infelizmente, o termo é usado para descrever multiplis e diferentes tipos de ameaça e não há uma concordância exata sobre a definição, explicou Liam O Murchu, gerente de operações da Symantec Security Response. “Originalmente, ele foi cunhado para descrever ameaçs que usam vulnerabilidades Zero Day – normalmente em PDFs e outros formatos de documento – que tentavam permanecer indetectáveis enquanto roubavam propriedade intelectual ou infectavam redes”, ele disse. “No entanto, já foi utilizado para drescever todo tipo de ameaça que faz toda sorte de coisas. Por isso, APT pode ser muitas coisas diferentes, dependendo de quem está usando e qual é essa essa definição.”

Saiba mais:

APT: 4 dicas para rastrear ameaças persistentes em sua rede

Ameaças virtuais APT: o que são e por que tão perigosas

Arquiteto de rede: entenda os desafios de segurança DOS e APT