Alerta
ALERTA 21/2022
[TLP:CLEAR]
1. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) recebeu informações sobre a disseminação de um novo malware denominado Shikitega.
2. O malware é direcionado a endpoints e dispositivos IoT que executam sistemas operacionais Linux. O Shikitega é entregue em uma cadeia de infecção de vários estágios, onde cada módulo responde a uma parte da carga útil que baixa e executa a próxima etapa, evitando assim, sua detecção. O Shikitega utiliza servidores de comando e controle (C2) hospedados em serviços de nuvem legítimos e explora duas vulnerabilidades Linux de elevação de privilégios conhecidas:
- CVE-2021-4034 - https://nvd.nist.gov/vuln/detail/cve-2021-4034; e
- CVE-2021-3493 - https://nvd.nist.gov/vuln/detail/CVE-2021-3493.
3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem softwares ou firmwares vulneráveis sob sua responsabilidade e apliquem com urgência as devidas atualizações. Caso suspeitem que algum dispositivo esteja infectado, sugerimos realizar uma verificação, usando um aplicativo anti-malware atualizado. Para os casos de suspeita de infecção em um dispositivo IoT, o firmware necessita ser extraído primeiro, antes que uma verificação com anti-malware seja executada no conteúdo do sistema de arquivos extraído.
4. Possíveis indicadores de comprometimento (IOCs) associados ao Shikitega podem ser encontrados nos seguintes links:
- https://www.csa.gov.sg/en/singcert/Alerts/al-2022-048
- https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux
5. O CTIR Gov recomenda as seguintes ações adicionais:
- Manter os softwares e firmwares atualizados;
- Utilizar Antivírus e/ou Endpoint Detection Response (EDR) em todos os endpoints; e
- Implementar rotinas de backup de arquivos.
6. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).
7. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência:
8. Os alertas e recomendações emitidos pelo CTIR Gov podem ser encontrados em:
9. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:
[TLP:CLEAR]