Kaspersky apresenta incidente envolvendo banco brasileiro e deixa um alerta para proteção de serviços de DNS

O ataque inicialmente foi realizado contra a conta DNS do banco, que por sua vez não estava protegida por um sistema de dupla autenticação. Os atacantes também obtiveram um certificado HTTPS legítimo.

Com o controle dos serviços de DNS e certificados HTTPS legítimos eles fizeram a transferência de todos os domínios do banco para sites falsos que usavam esses certificados, dessa forma, quando os clientes fizeram o acesso às suas contas, eles eram direcionados para um site que solicitava a instalação de um plugin de segurança, que na verdade se tratava de um Malware. Este por sua vez roubava lista de contatos de e-mail, dados de acesso a serviços FTP, além de desativar o software anti-malware da máquina da vítima para evitar que fosse detectado.

Além disso, o próprio site falso do banco já fazia a coleta de dados de Login do cliente, sendo os dados direcionados para um servidor de comando e controle no Canadá.

Vale ressaltar que este não foi mais um simples ataque de um hacker comum, mas sim de um grupo bastante experiente pois o certificado SSL foi guardado por um bom tempo para que fosse usado na hora certa. Por outro lado, não podemos descartar que o não uso de um duplo fator de autenticação facilitou o acesso a conta DNS do banco.

Como foi realizado o ataque?

O DNS é um protocolo que faz a tradução de endereços de sites (www.banco.com.br, por exemplo), para os endereços de IP. Ele segue um fluxo onde o cliente pergunta para o servidor DNS quem é www.[nomedosite].com.br, e o servidor DNS responde com o IP, ele faz a tradução direcionando o cliente para o endereço correto do site.

Ocorre que se os atacantes obtiveram controle sobre o serviço de DNS, poderiam direcionar os clientes para o endereço que desejassem, e o destino foi um site falso com certificado legítimo HTTPS que impedia que qualquer cliente suspeitasse do site.

“Foram comprometidos 36 domínios do banco incluindo o e-mail interno e os servidores FTP.”

O fato de disponibilizarem o e-mail interno do banco impediu que as áreas de apoio atuassem em conjunto para notificarem os clientes sobre o incidente.

De acordo com Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da Kaspersky Lab, “Este tipo de ataque nunca aconteceu antes em uma escala tão grande”. Isso porque a operação começou cerca de 5 meses antes do incidente.

Também não está claro como os atacantes comprometeram o serviço de DNS, apesar da falta do duplo fator de autenticação. Talvez eles (os atacantes) conseguiram explorar alguma vulnerabilidade ou fizeram o uso de e-mails de phishing para os funcionários do Registro.br, para que obtivessem credenciais de acesso. Porém, deixaram claro que: “Nós não sabemos exatamente como originalmente eles comprometeram o serviço DNS”.

Após 5 horas o banco conseguiu restabelecer o controle sob sua infraestrutura, porém este incidente mostra claramente como é importante ter um controle mais firme sobre todos os serviços que envolvem os sistemas da empresa.

Como se proteger?

Em sua apresentação Bestuzhev afirmou que este incidente serve de aviso para verificar a segurança de seu DNS, pois como foi mostrado neste ataque, tendo o controle do serviço DNS, os Hackers basicamente se tornaram o banco.

Ele nos deixou um dado muito interessante, onde pelo menos metade dos 20 maiores bancos do mundo não gerenciam seus serviços de DNS, deixando a terceiros essa tarefa. Isso torna as empresas que prestam esse serviço de DNS uma vítima em potencial a sofrer um ataque parecido, mas ressalta que algumas medidas simples de segurança que são oferecidas, como o bloqueio de registro e o duplo fator de autenticação podem ser mais importantes do que a criptografia do site e bloqueio, pois estes dois últimos não vão ajudar quando seus clientes estão sendo direcionados a outro site com outra infraestrutura.

Ataques persistentes, planejados com grande antecedência e com ampla área de ataque são um grande desafio para as equipes de segurança.

O isolamento do ambiente, com acesso a partir de uma plataforma única de gestão de acesso privilegiado pode evitar esse tipo de ataque e muitos outros.

Controle seus acessos aos ambientes e servidores críticos pelo senhasegura.