As ferramentas usadas pelos hackers não são lá essas coisas

Estudo mostra que os hackers governamentais estão cheios de vulnerabilidades.

|
28 Julho 2017, 1:54pm

Quando alguém diz ter sido hackeado por uma "ameaça avançada persistente" (APT) – jargão usado para se referir a supostos hackers do governo – vem à mente a imagem de uma unidade organizadíssima que só usa as ferramentas mais avançadas, não é?

Mas não é o que rola. Segundo uma pesquisa apresentada nesta semana em Las Vegas, nos EUA, alguns dos mais populares malwares usados pelas tais APTs – para atingir desde petroleiras à dissidentes – estão cheios de vulnerabilidades.

O levantamento também mostrou falhas quanto ao "hacking-back" – quando ocorre retaliação por parte das vítimas a fim de minimizar o dano ou para coletar informações sobre os hackers. "Algumas das ferramentas usadas são criadas de forma pobre", comentou Waylon Grange, pesquisador da empresa de segurança Symantec.

O método de Grange foi abrangente. Ele escolheu uma série de ferramentas populares e com alta incidência em relatórios de APT e, a seguir, examinou-as em busca de brechas.

Um exemplo bom das falhas foi quando analisou o malware de Windows chamado Gh0st RAT que hackers usavam para atacar ativistas tibetanos e organizações sul-coreanas. Na teoria, ele é capaz de ligar a câmera da máquina de uma vítima, roubar dados e muito mais.

O problema dele, diz Grange, é que, quando o Gh0st RAT transfere um arquivo da vítima ao servidor do atacante, ele não valida que o hacker fez a solicitação. Isso significa que uma vítima poderia fazer o upload de um arquivo para a infraestrutura do hacker e, assim, instalaria um backdoor em seu servidor.

"Se eu fosse hackear o hacker, talvez quisesse acessar seu computador e ver quem eles estão atacando ou já atacaram", disse Grange. "Isso poderia facilitar na identificação do criminoso ou criminosos."

Grange descobriu brechas também no PlugX, malware ligado ao infame ataque ao Departamento de Gestão de Pessoal norte-americano. "Tanto no caso do PlugX quanto do Gh0st RAT, a brecha em questão tem a ver com execução de códigos, o que significa que posso rodá-los de onde bem entender", comentou.

Tais brechas podem ser usadas para extrair arquivos do servidor do hacker. Grange viu ainda um problema no XtremeRat, que já foi usado em ataques direcionados e campanhas cibercriminosas.

Claro que tudo isso tem relevância no quesito de virar o feitiço contra o feiticeiro. No começo deste ano, um deputado republicano sugeriu dar poderes legais às vítimas para que hackeassem criminosos de volta para identificar estes hackers.

"Creio que isso mostra que, caso legalizassem o ato do 'hacking-back', ele seria bastante plausível", comentou Grange.