O que você precisa saber sobre o UNITEDRAKE da NSA

O grupo de hackers Shadow Brokers vazou o manual de usuário do UNITEDRAKE da NSA. Veja tudo o que sabemos sobre a ferramenta até agora.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Buscando por alguma notícia boa sobre segurança de dados após a devastadora quebra da Equifax? Você não vai encontrar isso neste artigo, embora esta proposta de lei de notificação de violação conte como um pequeninho raio de luz sobre este problema. De qualquer maneira, talvez você se lembre dos Shadow Brokers, um grupo que hackeou os servidores da NSA e apontou uma vulnerabilidade no Windows que fez o ransomware WannaCry tão mortal.

Estes mesmos Shadow Brokers têm um novo anuncio de produto que, aparentemente, está baseado no spyware da NSA, identificado inicialmente nos documentos de Snowden. Bruce Schneier conta mais detalhes sobre suas origens.

(Voltando para 2014, Cindy e eu ouvimos Schneier falar durante uma conferência de criptografia, alertando os espectadores que as técnicas da NSA poderiam eventualmente atingir alguns hackers comuns. Novamente, Schneier provou estar certo.)

Conhecido como UR ou UNITEDRAKE, trata-se de um trojan avançado para acesso remoto, ou um RAT que possui implantes acompanhantes – NSA conversa com módulos remotos. Isto faz com que algumas dos RATs, reconhecidamente simples que investiguei em minha série de testes de caneta, pareçam a versão digital de ferramentas da Idade da Pedra.

O manual UNITEDRAKE

Os Shadow Brokers publicaram, gentilmente, seu manual de usuário. Recomendo que as pessoas de TI que só conhecem os malwares pelas manchetes das tech-zines examinem com cuidado este conteúdo.

Esquecendo por um momento que a Maldade S/A está por trás deste malware, este manual de 67 páginas aparece na superfície para descrever uma legítima ferramenta de TI: lá estão seções com requerimentos mínimos do software, instalação, desenvolvimento e uso.

Aos meus olhos, é um manual do usuário bem detalhado que deixa muitas empresas com vergonha. Este é o malware do qual tanto ouvimos falar e, agora, podemos ver que é real.

Não vi todas as capacidades explicadas, mas há o suficiente no manual para convencer o provável comprador de que o UNITEDRAKE é uma ferramenta real e vale a pena o investimento.

Mas continua sendo um Trojan

Quando você continua lendo o manual do UNITEDRAKE, é possível notar que se trate, essencialmente, de um RAT com uma arquitetura moderna e clássica: o lado do cliente com os implantes está no computador da vítima e se comunica com o servidor do hacker no outro lado da conexão.

A porta 80 parece ser o canal de comunicação e isso significa que o HTTP é o protocolo do “workshorse” aqui – embora o TCP cru seja mencionado também.

Escaneando alguns websites especializados no assunto, eu aprendi que os implantes da NSA, como o Salvage Rabbit, podem copiar dados de uma unidade flash, o Gumfish pode tirar fotos de uma câmera embutida e o Captivated Audience pode – adivinhe só – espionar os usuários por meio do microfone de um laptop.

Os caras da NSA pelo menos recebem crédito pela nomeação criativa de produtos.

O prognóstico

Obviamente, a NSA está em uma posição mais favorável para instalar estes implantes do que os hackers. E não está tão claro quando desse NSA-ware os Shadow Brokers estão hábeis para implementar.

Em qualquer caso, com o uso de phishing e outras técnicas, os hackers tiveram um bom histórico nos últimos anos em conseguir superar o perímetro não identificado.

Schneier também diz que o Kapersky viu alguns destes implantes na natureza.

Minha reflexão: devemos ter mais do que um pouco de medo do UNITEDRAKE e outros malwares produzidos que os hackers com alguma pequena mudança podem controlar facilmente.

Nunca acreditamos que o perímetro fosse impenetrável. Saiba como a Varonis pode detectar hackers quando eles já estão dentro da sua rede.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

proteção-contra-malwares:-como-defender-os-dados-corporativos-utilizando-a-solução-varonis-datalert
Proteção contra malwares: como defender os dados corporativos utilizando a solução Varonis DatAlert
Conheça os tipos de malwares mais comuns e como a solução Varonis DatAlert ajuda empresas na proteção dos dados corporativos contra esses ataques.
modernizar-seu-mainframe-é-essencial-para-a-segurança-corporativa
Modernizar seu mainframe é essencial para a segurança corporativa
Mainframes são seguros por contarem com uma arquitetura simples e sem endpoints vulneráveis, isso não quer dizer que não sejam alvos de ameaças
o-cryptowall-em-2018
O Cryptowall em 2018
O Cryptowall é um vírus que criptografa todos os arquivos de um computador, liberando-o apenas com o pagamento de resgate. Saiba como se defender
otimize-o-uso-das-métricas-de-segurança-da-informação
Otimize o uso das métricas de segurança da informação
Otimize o uso das métricas de segurança da informação | Varonis