A KISA (Korea Internet & Security Agency) informou a existência de uma vulnerabilidade zero-day no Adobe Flash, que fora confirmada pela Adobe no último dia 01. Após o anúncio, a FireEye iniciou a investigação, focando nas versões Adobe Flash Player 28.0.0.137 e anteriores.
Vulnerabilidades zero-day são as brechas encontradas e exploradas por hackers em softwares ou sistemas operacionais, antes que os desenvolvedores tenham tempo de resposta ao incidente. Desta forma, o invasor pode assumir o controle do sistema afetado.
“Acreditamos que os atores desta ação zero-day do Flash sejam membros de um grupo norte-coreano conhecido como Reaper. Consideramos sua nacionalidade, pois já os vimos carregar dados erroneamente (envio e controle) para servidor no espaço de IP norte-coreano. Seu maior foco de ameaças é a Coreia do Sul, visando governo, Forças Armadas e a base industrial de defesa, assim como outros setores da indústria. O grupo demonstra também interesses previsíveis, nos desertores e no esforço para a unificação, por exemplo”, avalia John Hultquist, diretor de análise de inteligência da FireEye.
“Este é um dos atores norte-coreanos que nos preocupa em relação aos Jogos Olímpicos de Inverno. Eles podem estar motivados na coleta de informações para, possivelmente, planejar e executar um ataque. Nossas equipes de especialistas conectam os ataques a outros atores norte-coreanos, mas não os observaram no envolvimento de atividade disruptiva ou destrutiva. Embora não tenham visto a execução, foi observada a implantação de softwares de limpeza”, complementa.
Atribuição da ameaça e cenário de ataque
O grupo norte-coreano TEMP.Reaper – ou apenas Reaper – é tido como principal suspeito pelo ataque. A FireEye observou que seus operadores interagiram diretamente com a infraestrutura de comando e controle de endereços de IP atribuídos à rede STAR-KP em Pyongyang, capital da Coreia do Norte. A rede STAR-KP é uma joint venture entre a Corporação de Correios e Telecomunicações do Governo da Coreia do Norte e a Loxley Pacific, com sede na Tailândia.
Historicamente, a maioria dos seus alvos enfoca o governo sul-coreano, especialmente a área militar e a Base Industrial de Defesa. No entanto, eles expandiram a atuação para outros alvos internacionais no último ano, com temas de importância direta para a República Popular Democrática da Coreia (DPRK, sigla em inglês), tais quais os esforços de unificação da Coreia e os desertores da Coreia do Norte.
Em 2017, a FireEye iSIGHT Intelligence descobriu o malware wiper recentemente desenvolvido e implementado pelo TEMP.Reaper, identificado como RUHAPPY. Embora os pesquisadores da FireEye tenham observado outros grupos suspeitos de ameaças da Coreia do Norte empregar softwares de limpeza em ataques disruptivos, como o TEMP.Hermit, até o presente momento, não foi observado o uso ativo do malware wiper contra quaisquer alvos por parte do TEMP.Reaper.
Ao realizar a análise da cadeia de exploração em andamento, aponta-se que a vulnerabilidade zero-day do Flash é distribuída por meio de um documento malicioso ou uma planilha com um arquivo em formato SWF incorporado. Após a abertura e exploração bem-sucedida, uma chave de descriptografia aciona uma carga útil, a qual seria baixada de sites de terceiros comprometidos e hospedados na Coreia do Sul. A análise preliminar indica que a vulnerabilidade provavelmente tenha sido utilizada para distribuir o malware DOGCALL, anteriormente direcionado a vítimas sul-coreanas.
Recomendações
A Adobe afirmou que planeja liberar uma solução ainda nesta semana. Até então, a FireEye recomenda aos seus clientes e usuários comuns que utilizem o Flash com cautela, especialmente se precisarem acessar sites sul-coreanos e que evitem abrir documentos suspeitos, como planilhas do Excel. Devido à publicação da vulnerabilidade antes da disponibilidade do patch, é provável que outros grupos criminais e estatais tentem explorar esta vulnerabilidade a curto prazo.
