Na economia do cibercrime, que gira em torno da exploração (exploits) de vulnerabilidades em software e produtos, o ativo mais valioso e valorizado é o “dia zero”, falha para a qual não há patch ou atualização disponível. No ano passado, um intermediador de exploits — que negocia vulnerabilidades na dark web — se disse disposto a pagar até US$ 2 milhões por jailbreaks de dia zero do iOS da Apple e US$ 1 milhão por exploits (sequência de comandos) que permitissem assumir o comando do WhatsApp e iMessage.
Não é difícil entender por que ataques de dia zero, ou zero day, têm tanta demanda. O motivo principal é que eles são difíceis de detectar e defender porque em muitos casos ninguém está ciente de que um ataque ocorreu até que os problemas apareçam. Isso significa que o ataque pode se espalhar rapidamente e infectar um grande número de dispositivos e usuários, alerta o relatório “Grafologia de um Exploit – Impressão digital para ajudar a caçar autores de exploits de dia zero” elaborado pela Check Point Software.
Vulnerabilidades de dia zero podem assumir muitas formas, diz o estudo. Por exemplo, podem envolver a falta de criptografia de dados, injeção de SQL, estouros de buffer, autorizações ausentes, algoritmos quebrados, redirecionamentos de URL, bugs ou problemas com segurança de senha. “O foco de atenção geralmente está no malware que explora a vulnerabilidade de dia zero, mas para que ele seja desenvolvido e criado, alguém precisa primeiro encontrar a vulnerabilidade e descobrir como explorá-la”, observa o relatório.
Veja isso
Hackers chineses exploram bugs no F5, Citrix, Pulse e Exchange
Falhas de ‘dia zero’ no Windows e IE permitem ataques direcionados
Esses “desenvolvedores” são os autores da exploração, que geralmente trabalham silenciosamente fora dos holofotes para descobrir e vender vulnerabilidades de dia zero para quem der o lance mais alto. Nos últimos meses, as equipes de pesquisa de vulnerabilidade e malware da Check Point foram a “campo” investigar o mundo dos autores de exploits e seu trabalho.
A partir de um único caso de resposta a incidentes, os pesquisadores traçaram o perfil de um desenvolvedor de exploits mais ativo para Windows. Conhecido como “Volodya” ou “BuggiCorp”, ele foi rastreado por meio de mais de dez de seus exploits de escalonamento de privilégios locais (LPE) do kernel do Windows, muitos dos quais eram de dia zero no momento do desenvolvimento.
CSI: impressão digital cibernética
O objetivo dos pesquisadores foi identificar a técnica usada por um autor de exploração, procurando traços característicos exclusivos que pudessem ser associados a ele. Isso foi feito analisando o código e procurando características que mostrassem como o código foi escrito e implementado, da mesma forma como um grafólogo analisa a escrita à mão, ou um especialista procura por características únicas em impressões digitais em uma cena de crime.
Durante esta pesquisa, nos concentramos em explorações que são usadas ou incorporadas em diferentes famílias de malware, tanto em ataques APT (de ameaças persistentes avançadas) quanto em malware comoditizado (especialmente ransomware).
Diz o relatório: “O fato de termos sido capazes de usar nossa técnica, repetidamente, para rastrear 16 exploits LPE do Windows, escritos e vendidos por dois autores diferentes, foi muito surpreendente. Considerando que 15 deles datam do período entre 2015 e 2019, é plausível supor que constituem uma parte significativa do mercado de exploração, especificamente para exploits LPE do Windows”.
Clientela de dia zero
A lista de clientes de Volodya é diversificada e inclui autores de cavalos de Troia (trojans bancários), como o Orsi, autores de ransomware, como o GandCrab, Cerber e Magniber, e grupos APT, como Turla, APT28 e Buhtrap. Este último começou no cibercrime e posteriormente mudou para a espionagem cibernética.
O APT, Turla, APT28 e Buhtrap são comumente vinculados à Rússia. “É interessante descobrir que mesmo esses grupos avançados compram exploits de autores de exploração, em vez de desenvolvê-los. Este é outro ponto que reforça a hipótese de que essas explorações de dia zero devem ser tratadas como uma parte separada e distinta da construção de malware e da economia do malware”, salienta os pesquisadores da Check Point.
Os pesquisadores acreditam que a metodologia utilizada para rastrear o Volodya pode ser usada para identificar outros criadores de exploits adicionais.
