Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

O que você precisa saber sobre o UNITEDRAKE da NSA

O grupo de hackers Shadow Brokers vazou o manual de usuário do UNITEDRAKE da NSA. Veja tudo o que sabemos sobre a ferramenta até agora.
Emilia Bertolli
2 minuto de leitura
Publicado 10 de Outubro de 2017
Ultima atualização 1 de Dezembro de 2023

Buscando por alguma notícia boa sobre segurança de dados após a devastadora quebra da Equifax? Você não vai encontrar isso neste artigo, embora esta proposta de lei de notificação de violação conte como um pequeninho raio de luz sobre este problema. De qualquer maneira, talvez você se lembre dos Shadow Brokers, um grupo que hackeou os servidores da NSA e apontou uma vulnerabilidade no Windows que fez o ransomware WannaCry tão mortal.

Estes mesmos Shadow Brokers têm um novo anuncio de produto que, aparentemente, está baseado no spyware da NSA, identificado inicialmente nos documentos de Snowden. Bruce Schneier conta mais detalhes sobre suas origens.

(Voltando para 2014, Cindy e eu ouvimos Schneier falar durante uma conferência de criptografia, alertando os espectadores que as técnicas da NSA poderiam eventualmente atingir alguns hackers comuns. Novamente, Schneier provou estar certo.)

Conhecido como UR ou UNITEDRAKE, trata-se de um trojan avançado para acesso remoto, ou um RAT que possui implantes acompanhantes – NSA conversa com módulos remotos. Isto faz com que algumas dos RATs, reconhecidamente simples que investiguei em minha série de testes de caneta, pareçam a versão digital de ferramentas da Idade da Pedra.

O manual UNITEDRAKE

Os Shadow Brokers publicaram, gentilmente, seu manual de usuário. Recomendo que as pessoas de TI que só conhecem os malwares pelas manchetes das tech-zines examinem com cuidado este conteúdo.

Esquecendo por um momento que a Maldade S/A está por trás deste malware, este manual de 67 páginas aparece na superfície para descrever uma legítima ferramenta de TI: lá estão seções com requerimentos mínimos do software, instalação, desenvolvimento e uso.

Aos meus olhos, é um manual do usuário bem detalhado que deixa muitas empresas com vergonha. Este é o malware do qual tanto ouvimos falar e, agora, podemos ver que é real.

Não vi todas as capacidades explicadas, mas há o suficiente no manual para convencer o provável comprador de que o UNITEDRAKE é uma ferramenta real e vale a pena o investimento.

Mas continua sendo um Trojan

Quando você continua lendo o manual do UNITEDRAKE, é possível notar que se trate, essencialmente, de um RAT com uma arquitetura moderna e clássica: o lado do cliente com os implantes está no computador da vítima e se comunica com o servidor do hacker no outro lado da conexão.

A porta 80 parece ser o canal de comunicação e isso significa que o HTTP é o protocolo do “workshorse” aqui – embora o TCP cru seja mencionado também.

Escaneando alguns websites especializados no assunto, eu aprendi que os implantes da NSA, como o Salvage Rabbit, podem copiar dados de uma unidade flash, o Gumfish pode tirar fotos de uma câmera embutida e o Captivated Audience pode – adivinhe só – espionar os usuários por meio do microfone de um laptop.

Os caras da NSA pelo menos recebem crédito pela nomeação criativa de produtos.

O prognóstico

Obviamente, a NSA está em uma posição mais favorável para instalar estes implantes do que os hackers. E não está tão claro quando desse NSA-ware os Shadow Brokers estão hábeis para implementar.

Em qualquer caso, com o uso de phishing e outras técnicas, os hackers tiveram um bom histórico nos últimos anos em conseguir superar o perímetro não identificado.

Schneier também diz que o Kapersky viu alguns destes implantes na natureza.

Minha reflexão: devemos ter mais do que um pouco de medo do UNITEDRAKE e outros malwares produzidos que os hackers com alguma pequena mudança podem controlar facilmente.

Nunca acreditamos que o perímetro fosse impenetrável. Saiba como a Varonis pode detectar hackers quando eles já estão dentro da sua rede.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
por-trás-do-rebranding-da-varonis
Por trás do rebranding da Varonis
Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
Guia de migração de dados: sucesso estratégico e práticas recomendadas
A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento