M3 UD1 As Fases de Um Ciberataque (Anotado)

Fazer download em pdf ou txt
Fazer download em pdf ou txt
Você está na página 1de 20

Fundamentos de Cibersegurança (PSP)

MÓDULO 3: ANATOMIA DE UM CIBERATAQUE

Unidade didática 1: As fases de um ciberataque

Autor: Luís Dias, PhD

[MÓDULO 3 – Unidade didática 1] de [Luís Dias] é


disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
1 Internacional
1

1
Obetivos

Identificar ameaças e tendências

Reconhecer as etapas de um ciberataque

Identificar exemplos históricos de ciberataques (ou cibercrimes)

2
2

2
Anatomia de um ciberataque

Ciberespionagem Ciberataques a infraestruturas críticas


GhostNet 2009 Colonial pipeline – 2021
Irão – Stuxnet 2010

Ucrânia – 2015 Vodafone – 2022

SolarWinds 2020

Fonte: news.yahoo.com

Os riscos dos arsenais de ciberarmas


Wannacry – 2017

Covid-19 2020

O cibercrime (com o propósito de ganho financeiro imediato), a ciberguerra


(ciberataques entre estados que visam ganhos competitivos), o hacktivismo
ou terrorismo (movidos por ideologias), entre outras ameaças, têm fins
diferentes mas utilizam técnicas semelhantes muitas vezes explorando o fator
humano, conforme veremos.

Focando uns poucos casos da ciberguerra que parece permanente no mundo


em que vivemos:

- O caso GhostNet de 2009, uma rede de espionagem mundial que visou 103
Estados diferentes incluindo Portugal com duas embaixadas e o centro de
gestão da rede do governo com máquinas infetadas. A China foi a principal
suspeita neste caso.

- Em 2010, no Irão, as centrais de enriquecimento de Urânio fecharam em


resultado de uma cibersabotagem extremamente sofisticada, através de um
código malicioso, i.e., malware, designado Stuxnet.

- Outro ciberataque a infraestruturas críticas, ocorreu na Ucrânia em 2015,

3
provocando um corte de energia para 225.000 pessoas durante várias horas.

- Em 2017, surgiu o WannaCry, o maior de ataque de ransomware à escala


mundial, encriptando a informação e solicitando o resgate em Bitcoin.
Importa realçar que este ataque foi alavancado por um zero-day (explora
uma vulnerabilidade desconhecida), uma ciberarma designada EternalBlue,
do arsenal da National Security Agency (NSA) dos EUA, divulgada pelo
grupo Shadow Brokers, relevando os riscos dos arsenais de ciberarmas
serem capturados e usados de forma indiscriminada por cibercriminosos
como no caso do WannaCry e outros posteriores.
- Em 2020, existiram diversos indícios de ciberespionagem a organizações
ligadas às vacinas, para obtenção de propriedade intelectual.

Há algo em comum na maioria destes exemplos, o vetor de ataque


inicial usado para entrega do malware, ou código malicioso, é
tipicamente o utilizador do ciberespaço que cai de alguma forma numa
armadilha, e.g., através de um email com um tema que lhe interessa, ou
de um site com um assunto muito apelativo, ou de um pen largada em
algum sítio e que alguém vai experimentar no seu PC. É importante
percebermos isto, nós não somos o elo mais fraco como muitos dizem,
nós somos o primeiro vetor de ataque para o agente de ameaça
penetrar na rede, e temos de nos tornar na primeira linha de defesa.

3
Anatomia de um ciberataque

Modelo proposto pelo Multinational Capability Development Campaign (MCDC)


Instrumentos de poder
(2019)
Militar
Político
Ação
Económico
Efeito
Civil
Informação

emergência
crise
normal

Vulnerabilidades Alvo (PMESII)


Política
Militar
Económica

Social

Infraestruturas
4
Informação

A exploração do ciberespaço por atores estatais, tem vindo a crescer a um


ritmo alto, especialmente devido à pandemia e mais recentemente devido à
guerra na Ucrânia.
Importa perceber que os ciberataques surgem na maioria das vezes como
uma ferramenta numa campanha híbrida, explorando as vulnerabilidades das
funções críticas do estado e a capacidade do agressor para sincronizar vários
instrumentos de poder e os efeitos criados pelas suas ações.
Na figura, podem observar que em consequência da ação M3, por exemplo
um ataque de ciberespionagem, será divulgada Informação oportunamente,
para influenciar a opinião pública e as perceções da sociedade, minando a
discussão e o processo Político. Os casos da fuga de emails do partido
Democrata nos Estados Unidos, ou o caso dos emails do partido do
presidente Macron na França são exemplos claros.

4
Anatomia de um ciberataque

Influência em processos eleitorais de Estados democráticos

Fonte: kalw.org

Fonte: itpro.co.uk

Fonte: iiciis.org

Fonte: kalw.org
5

Não podemos assim deixar de destacar o uso do ciberespaço como


ferramenta para influenciar processos eleitorais em estados
democráticos. Destacando-se também o caso da empresa Cambridge
Analytica que demonstrou vulnerabilidades na legislação da privacidade
digital e o poder das grandes empresas tecnológicas e das tecnologias
disruptivas. De forma muito resumida, este caso consistiu no levantamento
dos perfis da população nas redes sociais, identificando grupos, incluindo os
mais vulneráveis à desinformação, bem como o tipo de mensagens a
produzir e injetar nas redes sociais, direcionadas a públicos alvo (diferentes
grupos) para influenciar o sentido de voto.

Por exemplo, na recente guerra da Ucrânia, a desinformação foi utilizada


muito antes da guerra cinética ter começado, como uma atividade
preparatória para a invasão russa.

5
Anatomia de um ciberataque

Ameaças e Tendências

Quadro de Ameaças: Ciberameaças/Agentes de ameaças em Portugal, 2021/2022 (Fonte CNCS)

6
6

As duas principais referências para procurar perceber as principais


ameaças e tendências em Portugal e na Europa, são o CNCS (Centro
Nacional de Ciber Segurança) e a ENISA (Agência Europeia para a
cibersegurança) respetivamente.
CNCS – Relatórios de Riscos e conflitos:
https://www.cncs.gov.pt/pt/observatorio/#relatórios
ENISA – Threat Landscape Report:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

6
Anatomia de um ciberataque

Ameaças e Tendências

ENISA Threat Landscape 2022

7
7

As duas principais referências para procurar perceber as principais


ameaças e tendências em Portugal e na Europa, são o CNCS (Centro
Nacional de Ciber Segurança) e a ENISA (Agência Europeia para a
cibersegurança) respetivamente.
CNCS – Relatórios de Riscos e conflitos:
https://www.cncs.gov.pt/pt/observatorio/#relatórios
ENISA – Threat Landscape Report:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

7
Anatomia de um ciberataque

 Engenharia Social:

- Arte de manipular as pessoas… Hacking através das pessoas….

 Alvo: Pessoas, Empresas, Websites, etc.. através das Pessoas

 Grandes empresas gastam muito dinheiro em tecnologia, por vezes esquecem a formação e treino dos
colaboradores…

 assim… o utilizador é o primeiro vetor de ataque (“o elo mais fraco”) deve ser a primeira linha de
defesa!

8
8

Veremos na Unidade Didática 3, mais alguns detalhes sobre Engenharia


Social, mas ficamos já com a ideia de que a Engenharia Social está
relacionada com a seguinte questão:
“Porque é que vamos arrombar a porta, se podemos fazer com que alguém a
abra por nós e entramos de forma dissimulada?”

A Engenharia social é a arte de Hackear Humanos.

8
Anatomia de um ciberataque

Pessoas

Tecnologia Processos
Hardware/Software Objetivos
Redes/Dados Atividades

Como se observa na figura, a diversidade de elementos num sistema de


informação, traduz-se numa complexidade que exponencia as potenciais
vulnerabilidades existentes num único elemento, através das ligações e da
confiança estabelecida entre os demais elementos.
Muitas organizações assumem, incorretamente, que a segurança da
informação é uma questão meramente técnica, mas está bem provado que é
um problema de gestão que requer soluções técnicas.

A sensibilização permanente dos utilizadores é crucial, dado que a grande


maioria dos ciberataques explora o utilizador como primeiro vetor de ataque
para entrar na rede de uma organização.

As organizações que sofrem ciberataques promovidos por agentes de


ameaça avançados, tipicamente só se apercebem do sucedido após largos
meses, quando o ciberataque é divulgado por terceiros, os dados sensíveis
da organização são expostos na internet, ou quando os sistemas críticos da
organização ficam indisponíveis. Mas este é o capítulo final de uma série de
passos desenvolvidos pelo agente de ameaça. O primeiro passo é o
reconhecimento da organização, procurando identificar pontos vulneráveis e

9
planear as próximas etapas. Serão depois exploradas as fraquezas humanas
como já referido, ou fraquezas tecnológicas como software vulnerável,
tirando partido das fragilidades também existentes nos processos da
organização.

9
Anatomia de um ciberataque

10

O agente de ameaça, pretende obter ativos de informação críticos, e.g.,


bases de dados com informação sensível. Para conseguir aceder a esses
sistemas críticos, muitas vezes é necessário entrar na rede da organização,
pois os sistemas normalmente estão bem protegidos (nem sempre estão) do
ponto de vista de quem tenta atacar a organização através da internet.
Contudo, quando estamos dentro da rede da organização, normalmente há
um relaxamento nas políticas de acessos à informação, sendo mais fácil para
o atacante aceder a recursos críticos. Assim, é um objetivo do atacante entrar
na rede da organização e para o fazer muitas vezes recorre a Engenharia
Social.

De uma forma muito simplificada, em termos das várias etapas de um


ciberataque, podemos ver na figura:

- 1ºPasso de um ataque, que explora as fraquezas humanas, através de


engenharia social com recurso a emails de phishing. Após o utilizador
clicar num anexo malicioso ou ceder as suas credenciais, o agente
malicioso ganha acesso ao computador infetado e consequentemente à
rede, explorando as fraquezas tecnológicas da mesma.

- No 2º passo é criado um túnel de comando e controlo entre a vitima,


dentro da rede da organização, e o agente malicioso, algures na internet.

10
- Agora com acesso à rede interna, no 3º passo o agente malicioso vai
mover-se dentro dessa rede procurando ativos de informação mais
valiosos. Após ter acesso a esses ativos, por exemplo, bases de dados
com informação sensível, o atacante irá realizar as ações que
materializam o seu objetivo final, podendo exfiltrar, apagar ou encriptar a
informação

10
Anatomia de um ciberataque

Exemplo de ataque com recurso a engª social…:

1º passo: identificar amigos, interesses da vítima.

2º passo: criar email, perfil falso.

3º passo: enviar email apelativo

4º passo: o link leva à instalação de um apk (app para o telemóvel)

5º passo: e.g., acesso à webcam está garantido…

11
11

11
Anatomia de um ciberataque

Exemplo de ataque com recurso a engª social:

1º passo: identificar amigos, interesses da vítima.

2º passo: criar email, perfil falso.

3º passo: enviar email apelativo

4º passo: o link leva à instalação de um apk,


que aparentemente é um jogo normal
(e permite jogar…)…

5º passo: acesso garantido


(webcam, áudio, ficheiros, etc…)

12

O jogo aparentemente é normal… mas as permissões que cedemos,


permitem estabelecer uma ligação para o atacante, e este controlar o
dispositivo.
É fundamental verificar se as permissões que atribuímos correspondem
ao contexto e à finalidade da aplicação que vamos instalar. No caso
deste ataque, a vitima deveria estar atenta, se é um jogo porque é que a
permissão requerida implica acesso à camara ou às mensagens?

12
Anatomia de um ciberataque

 Definir o Alvo: pode ser uma empresa, site, pessoa, etc.

 1º Passo: Recolher Informação – Conhecer o alvo!


• Descobrir empresas, pessoas, links relacionados.
• Pessoas – nomes, email, telefones, redes sociais, amigos…
• Enumerar redes, serviços, vulnerabilidades.
• Compilar a informação (e.g., usar grafos) e elaborar uma estratégia de ataque.

 2º Passo: Gerar ficheiros/código maliciosos – Aspetos mais técnicos!


• Explorar as vulnerabilidades (com exploits) para instalar o malware: e.g., backdoors, keyloggers, password
recovery, download & execute payloads, etc
• melhorar os ficheiros… de forma a passarem barreiras de segurança (e.g., AV) … embeber em ficheiros
aparentemente fidedignos (.doc, imagem, .pdf, etc.).

 3º passo: Entregar os ficheiros/código. Exemplo: Engenharia Social!


• Páginas de login, updates, popups … FALSOS
• Mail (phishing), websites falsos …
• Spoofing identity

 4º passo: Ações no objetivo – Ação no objetivo!


• Espiar, acesso ao sistema, alterar configurações, controlar os dispositivos afetados, mover na rede para alvos
mais remuneradores (ativos de informação críticos), etc.
• Manter o acesso
 5º passo: Apagar vestígios..
13

13
Anatomia de um ciberataque

Escondendo a identidade (Sock puppet)

Fonte: https://www.fakenamegenerator.com/ Fonte: https://thispersondoesnotexist.com/

14

Em qualquer das fases do ataque, o agente malicioso vai estar camuflado ao


máximo, vai utilizar identidades falsas obtidas em sítios online como o
apresentado (https://www.fakenamegenerator.com/), ou vai usurpar a
identidade de outros.
No caso dos dois rostos no slide, não foi necessário pedir autorização a estas
pessoas para usar as fotografias do rosto, isto porque elas não existem e
foram geradas com inteligência artificial (https://thispersondoesnotexist.com/),
podiam muito bem ser um novo amigo das redes sociais a querer saber mais
sobre nós…

14
Anatomia de um ciberataque

Para o atacante saber mais sobre nós…

Texto atrativo - oculto

15

… Nas redes sociais, um agente de ameaça pode querer saber mais sobre
nós para preparar o ataque de engenharia social (e.g., para saber os nossos
gostos, interesses, familiares, amigos). Como as redes sociais normalmente
só disponibilizam informação aos nossos “amigos”, o atacante irá solicitar
uma nova amizade com um perfil falso criado para o efeito em que após
aceitar amizade o utilizador passa a estar vulnerável.

Alguns indicadores que permitem ver que a conta é falsa (nesse caso
nunca aceitar amizade!):
- Poucos amigos (no caso da figura apenas tem 4 amigos).
- Nome diferente do normal (e.g., estrangeiro)
- Poucas publicações
- Textos atrativos que possam persuadir a vítima
- Localidade estranha para o utilizador
- Entre outras

15
Anatomia de um ciberataque

Escondendo a identidade (e.g., criptografia, bots)

16
Luís Dias © (2022)

Vejam nesta imagem, aquilo que um agente malicioso pode fazer para
esconder o seu rasto na internet. Poderá utilizar múltiplas camadas de canais
criptográficos, combinando redes privadas virtuais (VPN), com a rede segura
TOR, uma rede na Internet que consiste em mais de sete mil retransmissores
espalhados pelo mundo, e por fim, utilizar um BOT ou computador infetado e
controlado pelo agente, para perpetrar o ciberataque.

Quando se trata de imputar responsabilidades, o que temos atualmente


é um “jogo de culpas”, com base em suposições e não em provas
digitais fiáveis, isto porque a criptografia, a ocultação, os ataques
faseados e geograficamente dispersos em países com diferentes
jurisdições e relações diplomáticas conflituosas, tornam a imputação
muito difícil. A única forma de tentar fazer imputação de ataques
avançados, é com base no tipo de táticas, técnicas e ferramentas
utilizadas, que permitem caracterizar determinados atores.

16
Fundamentos de Cibersegurança (PSP)

MÓDULO 3: ANATOMIA DE UM CIBERATAQUE

Unidade didática 1: As fases de um ciberataque

Autor: Luís Dias, PhD

[MÓDULO 3 – Unidade didática 1] de [Luís Dias] é


disponibilizado sob a Licença Creative Commons-
Atribuição - NãoComercial-CompartilhaIgual 4.0
17 Internacional
17

17

Você também pode gostar