ALERTA 19/2022

[TLP:WHITE]

1. Este Alerta foi confeccionado pelo Departamento de Polícia Federal (DPF) em parceria com o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). O trabalho conjunto visa fornecer informações oportunas e indicar ações preventivas relativas à campanha massiva de ataques com o Malware Symbiote.

2. Foram encontrados indícios de uma campanha sofisticada com o objetivo de manter acesso remoto e coletar informações sensíveis em entes do setor financeiro e órgãos públicos do Brasil. O atacante usa um artefato bastante sofisticado (rootkit) que se esconde em computadores com o sistema operacional Linux e se comunica através de um canal encapsulado que se usa do protocolo de resolução de nomes da Internet (DNS).

3. Não há informações claras de como o ataque se inicia, mas há suspeitas de que o atacante se valha de credenciais de acesso remoto válidas (VPN) e que explore uma vulnerabilidade chamada "Dirty COW" (CVE-2016-5195). Há indícios que a campanha foi efetivada entre outubro de 2021 e março de 2022.

4. O artefato permite ao atacante acessar servidores da rede com uma credencial própria (uma espécie de chave mestra). Permite ainda copiar informação sensível como usuários e senhas, documentos e outros dados da rede da vítima e enviar para o atacante usando o canal camuflado DNS. Há indícios ainda de que o atacante é capaz de escalar privilégios e obter acesso de administrador (root) no sistema afetado.

5. Sistemas vulneráveis: Linux (todas as versões e distribuições).

6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado neste Alerta e recomenda a adoção das seguintes ações de prevenção:
- Monitorar consultas DNS sendo realizadas na rede, inclusive as consultas do tipo TXT, conforme exemplo no arquivo complementar disponível para download;
- Monitorar tráfego em portas altas nos ativos de rede;
- Buscar indícios do artefato nos servidores Linux da rede utilizando as regras YARA constantes do arquivo complementar;
- Rodar um detector de rootkit (como chkrootkit9 e rkhunter10) nas estações suspeitas. O comando “stat” do Linux pode auxiliar a encontrar evidências, mesmo com o sistema comprometido. Uma forma rápida de buscar
comprometimento é rodar o comando “stat” na lista de arquivos constante do arquivo complementar;
- Habilitar, em ferramentas de segurança, a detecção ao protocolo DNSCAT;
- É importante ressaltar que por se tratar de um rootkit, tanto os arquivos quanto o tráfego relevante serão escondidos. Recomenda-se, portanto, buscar formas externas ao sistema afetado para levantar evidências, como a inicialização de um sistema limpo e a telemetria de ferramentas de segurança, tais como EDR, XDR, SIEM etc.

7. Solicitamos que as ETIR reportem imediatamente ao CTIR Gov qualquer indício de comprometimento relacionado à ameaça.

8. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:
- https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938

9. Os alertas e recomendações emitidos pelo CTIR Gov podem ser consultados em:
- https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes

10. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:
- https://www.gov.br/ctir/pt-br/assuntos/tlp

Equipes CTIR Gov e DPF.

Acesse o link abaixo para fazer o download do arquivo complementar.

[TLP:WHITE]