A Avast publicou informações sobre um ataque contra um servidor associado aos Jogos Nacionais da China, em setembro de 2021, antes que começasse. As informações são baseadas na análise de um relatório da Avast, que está disponível publicamente no VirusTotal da equipe de TI dos Jogos Nacionais.
O relatório contém logs de acesso ao servidor web e ao banco de dados SQL, que forneceram aos pesquisadores da Avast informações parciais sobre o ataque. A equipe da Avast conseguiu correlacionar esse relatório com amostras de malware que descobriu e conseguiu descrever o ataque, determinando o ponto inicial da invasão.
David Álvarez Pérez, analista sênior de malware da Avast, explica o ataque: “A nossa análise mostra que os invasores conseguiram obter o acesso ao sistema explorando uma vulnerabilidade no servidor web, reconfigurar os servidores e carregar ferramentas que incluíam um scanner de rede e um recurso de exploração de apenas um clique.
Com base no relatório e nas descobertas da Avast, parece que a violação foi resolvida com sucesso, antes do início dos jogos. “Não podemos detalhar quais as ações os invasores podem ter tomado contra a rede, de forma mais ampla. Também não podemos fazer uma atribuição conclusiva dos invasores, embora tenhamos motivos para acreditar que sejam nativos e falam chinês, ou têm alta fluência nesse idioma”, destaca.
Conclusões e conselhos de segurança para organizações e empresas
O procedimento adotado pelos agentes, que invadiram os sistemas do XIV Jogos Nacionais da China, não é novo. Eles acessaram o sistema explorando uma vulnerabilidade do servidor web. Isso demonstra a necessidade de atualização de software, configurando-o corretamente e também ter ciência sobre possíveis novas vulnerabilidades em aplicativos, usando scanners de vulnerabilidade.
A principal contramedida de segurança para os defensores é manter a infraestrutura atualizada com patches. Especialmente para infraestrutura voltada à internet.
A prevenção deve ser prioridade, tanto para a infraestrutura interna quanto para a internet.
Webshells são ferramentas de pós-exploração, que podem ser muito difíceis de detectar. Há webshells que não tocam no sistema de arquivos e encontram-se apenas na memória, por isso podem ser ainda mais difíceis de detectar e identificar. Uma vez implantadas, as ferramentas webshells são identificadas principalmente por meio de indicadores de tráfego de rede incomuns ou anormais.
Para proteger contra esses tipos de ataques, a Avast recomenda a importância de implementar camadas adicionais de proteção, de forma que possa ser possível a detecção e ação imediata e com êxito, caso ocorra uma invasão.
Depois de obter acesso, os invasores tentaram se mover pela rede usando exploits e forçando os serviços de maneira automatizada. Chegar neste ponto é muito possível para os invasores, por isso, os defensores devem estar preparados. O monitoramento em tempo real de sistemas e redes de computadores é a maneira certa de fazer isso.
Por fim, os invasores usaram uma estrutura de exploração escrita na linguagem de programação Go, para mover-se pela rede. “Go é uma linguagem de programação cada vez mais popular, que pode ser compilada em múltiplos sistemas operacionais e arquiteturas, em um único binário contendo todas as dependências. Portanto, esperamos ver malware e ferramentas cinzas escritas nessa linguagem em futuros ataques, especialmente em ataques de IoT, onde há uma grande variedade de dispositivos aproveitando diferentes tipos de arquiteturas de processadores”, diz Jan Neduchal, engenheiro reverso de malware da Avast.
