A empresa de cibersegurança chamada Mandiant Threat Defense (adquirida pelo Google em 2022), descobriu uma ampla operação de crimes cibernéticos que tiram proveito desse entusiasmo do público por novas ferramentas de inteligência artificial.

Um grupo conhecido pelo nome de UNC6032 que acredita-se estar sediado no Vietnã, estaria enganando pessoas com anúncios falsos em redes sociais, como Facebook e LinkedIn, que promovem desde meados de 2024 aqueles geradores de vídeos de IA populares, como o Luma AI e o Canva Dream Lab.

Os ataques

No entanto, esses sites baixam secretamente softwares maliciosos, incluindo infostealers e backdoors, que roubam informações confidenciais, como detalhes de login e dados pessoais. Os dados roubados provavelmente são vendidos em mercados online ilegais, como a dark web.

Esse tipo de ataque é uma grande preocupação para todos. De acordo com o report M-Trends da Mandiant, credenciais roubadas são a segunda forma principal de invasão de sistemas por cibercriminosos. A empresa encontrou muitos desses anúncios que alcançam milhões de usuários, e acredita que campanhas semelhantes estejam ativas em outras redes sociais.

Por exemplo, um ataque específico investigado pela empresa de cibersegurança começou com um anúncio no Facebook da Luma Dream AI Machine. Quando um usuário clicava em “Comece agora gratuitamente”, era conduzido por uma série de etapas que imitavam um processo real de criação de vídeos com IA.

Após a barra de carregamento, um botão de download aparece, instalando o software malicioso em vez de baixar um vídeo. Os arquivos baixados utilizam um truque com caracteres ocultos e o ícone de um arquivo .mp4 falso para parecerem inofensivos.

Os malwares

O malware usado nesses ataques que a Mandiant identificou como STARKVEIL, é um programa complexo escrito na linguagem Rust. Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrirem o programa. O software então instala outras ferramentas maliciosos, como XWORM, backdoor FROSTRIFT e o downloader GRIMPULL.

O software malicioso usado nesses ataques, que a Mandiant rastreia como STARKVEIL, é um programa complexo escrito em Rust . Ele pode exibir mensagens de erro falsas para induzir os usuários a reabrir o programa. O software então instala outras ferramentas perigosas, como XWORM , backdoors FROSTRIFT e o downloader GRIMPULL.

Em uma publicação em seu blog, a Mandiant detalha todas essas questões técnicas envolvendo ameaças e mostra que está colaborando com a Meta e o LinkedIn no combate a essa campanha. Embora a Meta tenha removido muitos desses anúncios, outros novos aparecem diariamente. É uma ameaça contínua que exige colaboração constante com a indústria de tecnologia para proteger os usuários.

Yash Gupta, gerente sênior da Mandiant, alerta que “sites bem elaborados que se passam por ferramentas legítimas de IA podem representar uma ameaça a qualquer um. Os usuários precisam ter cuidado ao interagir com anúncios aparentemente inofensivos”.

É fato que as ferramentas de IA estão se tornando populares, e os cibercriminosos continuarão a explorar esse interesse. Recomendamos que você seja cauteloso ao testar essas novas ferramentas e verifique sempre o endereço do site antes de interagir.

Crédito:

https://hackread.com/fake-ai-video-tool-ads-facebook-linkedin-infostealers/

O DocuSign, famosa ferramenta para assinatura digital de documentos com mais de 1 bilhão de usuários e 95% das empresas da Fortune 500, é tema de sofisticadas campanhas de phishing executadas por cibercriminosos que possuem o objetivo de coletar credenciais corporativas, invadir redes e executar fraudes financeiras.

Ameaças cibernéticas que usam plataformas confiáveis em seus ataques

Tendo em vista que o phishing é responsável por 19% dos vazamentos de dados e 60% envolvem o fator humano, conforme descobertas da empresa Verizon, entender essas ameaças é essencial para as empresas que buscam proteger suas informações críticas.

As campanhas de phishing com o tema DocuSign empregam táticas de engenharia social para enganar usuários. Estas vítimas geralmente recebem e-mails imitando o layout da ferramenta, com avisos urgentes que solicitam a revisão de documentos através de botões amarelos clicáveis ou anexos de QR codes.

Ao serem levados para sites maliciosos, como páginas falsas de login da Microsoft, os usuários são induzidos a digitarem credenciais de acesso ou detalhes financeiros.

Os QR codes representam um risco único, pois os dispositivos móveis usados para escaneá-los geralmente não possuem um software de segurança robusto, o que facilita o contorno das defesas pelos invasores.

Esses ataques também podem servir como ponte para o escalonamento de privilégios, movimentação lateral dentro de redes corporativas, e até mesmo a implantação de ransomware ou a exfiltração de dados.

Mecanismos de ataques de phishing usando o DocuSign

Outros incidentes destacam a diversidade desses golpes, com cibercriminosos registrando contas reais do DocuSign para enviar e-mails com aparência autêntica, falsificando entidades confiáveis, como fornecedores ou agências municipais.

Outros orquestram golpes de faturas falsas para enganar empresas e fazer com quem realizem algum tipo de pagamento ou comentem fraudes de reembolso que induzem as vítimas a divulgar informações pessoais por telefone.

Além disso, alguns invasores exploram as APIs do DocuSign para criar notificações aparentemente legítimas, em que misturam algo realmente genuíno com o engano cometido pelas vítimas.

Normalmente esses e-mails podem se passar por departamentos de RH ou de Pagamento, criando aquele senso de urgência, o que pode levar os usuários a agirem sem nenhum critério. O resultado disso pode ser o acesso não autorizado a sistemas corporativos, perdas financeiras ou dados pessoais roubados aparecendo na dark web.

Como se proteger?

De acordo com um report da ESET, a proteção contra phishing do DocuSign requer uma abordagem em camadas.

As empresas precisam priorizar a educação de seus funcionários por meio de programas de conscientização sobre phishing, ensinando-os a analisar e-mails em busca de remetentes suspeitos, assinaturas incompatíveis ou erros gramaticais e a verificar URLs antes de clicar nos links.

E-mails legítimos do DocuSign incluem códigos de segurança para acesso direto aos documentos em sua plataforma, nunca por meio de links de e-mail ou anexos.

Implementar a autenticação multifator (MFA) em contas corporativas, impor uma higienização de senhas fortes por meio de gerenciadores de senha e implementar soluções avançadas de segurança para detecção de links e anexos maliciosos são proteções técnicas essenciais.

As políticas de segurança precisam desencorajar a interação com esses e-mails não solicitados, incentivando os usuários a relatar mensagens suspeitas aos times de segurança e ao endereço de denúncia de spam da DocuSign.

Caso ocorra alguma violação, ações rápidas, como redefinição de senhas, verificações de malware, isolamento de dispositivos e monitoramento da dark web, são cruciais para conter danos.

Seja para fins comerciais ou pessoais, o uso do DocuSign deve ser equilibrado com a vigilância constante, para que não haja sucesso nas investidas dos cibercriminosos que exploram a confiança em ferramentas legítimas.

Créditos:

https://gbhackers.com/threat-actors-use-fake-docusign-notifications/

De acordo com o DoJ (Departamento de Justiça Americano), Ryan Mitchell Kramer se declarou culpado por acessar um computador e obtido informações, além de ter ameaçado danificar dados, além de duas acusações de crime que podem resultar em uma pena de prisão de até cinco anos cada.

Kramer está por trás do ataque de 2024 contra a The Walt Disney Company. A gigante da mídia iniciou uma investigação sobre o incidente em julho do ano passado, após um grupo de hackers chamado NullBulge ter anunciado o roubo de 1,1 TB de dados dos canais internos da ferramenta de colaboração Slack usada pela empresa, incluindo mensagens, informações sobre projetos não lançados, credencias de logins e códigos-fontes.

NullBulge alegou ser um “grupo hacktivista que protege os direitos dos artistas e luta para garantir uma compensação justa pelos seus trabalhos”.

A empresa de segurança SentinelOne detalhou as atividades do NullBulge, apontando que suas ações contradiziam suas alegações de hacktivismo. A SentinelOne analisou como o cibercriminoso atacou entidades relacionadas a IA e jogos com ransomare e outros malwares por meio de código malicioso implantado em plataformas como o GitHub e Hugging Face.

O malware distribuído por Kramer estava disfarçado de ferramenta que cria arte gerada por IA. Na realidade, ele implantava um malware que permitia ao hacker obter acesso ao dispositivo da vítima.

No caso da Disney, um funcionário tinha baixado a ferramenta falsa de IA em seu computador pessoal. As credenciais armazenadas no dispositivo comprometido permitiram que Kramer obtivesse acesso à conta do Slack usada pelo funcionário como parte de seu trabalho na Disney. Isso permitiu que o NullBulge roubasse grandes quantidades de informações de milhares de canais do Slack operados pela Disney.

O Departamento de Justiça afirmou que Kramer — que alegou representar o grupo hacktivista NullBulge, supostamente sediado na Rússia — tentou extorquir o funcionário da Disney. Como o funcionário não respondeu, Kramer vazou suas informações pessoais, juntamente com os arquivos roubados da Disney.

Parece que a Disney decidiu parar de usar o Slack para comunicação interna após o vazamento de dados.

Créditos:

https://www.securityweek.com/man-admits-hacking-disney-and-leaking-data-disguised-as-hacktivist/

Em tempos de infecções por ransomware e pedidos de resgates assolarem empresas de vários segmentos, as ferramentas de descriptografia de arquivos infectados vêm a calhar, na tentativa de recuperar dados criptografados sem a necessidade das vítimas pagarem resgates.

Essas ferramentas ajudam as empresas a recuperar o acesso aos seus arquivos, por meio de chaves de descriptografia ou algorítmos que desbloqueio dados criptografados.

Os projetos

O projeto No More Ransomware é um esforço colaborativo que oferece uma ampla gama de “descriptografadores” (utilizaremos o termo decryptor) para mais de 100 cepas de ransomware. A Kaspersky, por exemplo, fornece ferramentas específicas como o Rakhni Decryptor, que tem como alvo diversas variantes de ransomware.

O Ransomware File Decryptor da Trend Micro suporta vários tipos de ransomware, incluindo o WannaCry e Petya. J

O Ransomware File Decryptor da Trend Micro suporta vários tipos de ransomware, incluindo WannaCry e Petya. A AVG oferece ferramentas para cepas específicas como Apocalypse e TeslaCrypt.

A Emsisoft fornece uma biblioteca de descriptografadores para vários tipos de ransomware, incluindo Apocalypse e Xorist. A Avast também oferece um conjunto de ferramentas de descriptografia para inúmeras variantes de ransomware. Essas ferramentas são continuamente atualizadas para combater ameaças de ransomware em evolução.

Eles geralmente exigem a identificação da cepa específica de ransomware para aplicar o método de descriptografia correto. Embora eficazes, essas ferramentas não garantem a recuperação completa dos dados.

Atualizações regulares são cruciais conforme novas cepas de ransomware surgem. Os usuários devem sempre verificar a compatibilidade e seguir as instruções cuidadosamente para garantir uma descriptografia bem-sucedida.

Aqui estão nossas escolhas para as 10 melhores ferramentas de descriptografia de arquivos de ransomware e seus recursos:

1. Kaspersky Rakhni Decryptor: descriptografador especializado para o Rakhni, Agent. iih e outras famílias de ransomware.

2. Ferramenta de descriptografia de ransomware Emsisoft: ferramenta abrangente que oferece suporte a diversas variantes de ransomware para uma descriptografia mais eficiente.

3. McAfee Ransomware Recover: ferramenta de recuperação eficaz para vários tipos de ransomware com uma interface fácil de usar.

4. 360 Ransomware: ferramenta gratuita que oferece descriptografia para vários tipos de ransomware com atualizações regulares.

5. Ferramenta de descriptografia de ransomware AVG: descriptografia fácil de usar para tipos comuns de ransomware, garantindo a recuperação de arquivos.

6. Trend Micro Ransomware File Decryptor: solução robusta para descriptografar arquivos afetados por várias cepas de ransomware.

7. Projeto No More Ransomware : iniciativa colaborativa que fornece ferramentas de descriptografia gratuitas para muitas variantes de ransomware.

8. Ferramenta de descriptografia de arquivos PyLocky Ransomware: Esta é uma ferramenta específica para descriptografar arquivos criptografados pelo ransomware PyLocky.

9. Ferramenta de descriptografia do ransomware Petya: ferramenta dedicada para descriptografar arquivos afetados pelo ransomware Petya.

10. Ferramenta de descriptografia CryptoLocker: ferramenta eficiente para descriptografar arquivos bloqueados pelo ransomware CryptoLocker.

Veja mais detalhes sobre cada umas das ferramentas:

O que achou do post?

Créditos:

https://cybersecuritynews.com/ransomware-file-decryptor-tools/

Recentemente, um hacker sob o codinome “rose87168” esteve vendendo informações possivelmente associadas a mais de 140 mil clientes do Oracle Cloud, incluindo credenciais criptografadas. O hacker inicialmente esperava extorquir cerca de 20 milhões de dólares da Oracle, mas começou a oferecer os dados para qualquer um ou trocá-los por exploits zero-day.

Após as alegações do hacker virem à tona, de que ele estaria de posse de dados da Oracle, a empresa negou categoricamente a invasão no Oracle Cloud, dizendo que “não houve nenhuma violação de dados. As credenciais publicadas não estão relacionadas ao Oracle Cloud. Nenhum cliente da solução sofreu uma violação ou perdeu dados”.

No entanto, o hacker tem compartilhado vários tipos de informações para provar suas alegações, incluindo uma amostra de 10 mil registros de dados de clientes, um link para um arquivo demonstrando acesso aos sistemas de nuvem da Oracle, credenciais de usuário e um longo vídeo que parece ter sido gravado em uma reunião interna da Oracle.

Várias empresas de segurança e sites de notícias especializados têm apontado que as informações vazadas pareciam genuínas e associadas a um ambiente de produção. O site SecurityWeek e outras receberam a confirmação de que alguns clientes do Oracle Cloud tiveram seus dados incluídos no vazamento.

A Oracle notifica alguns clientes sobre a violação de dados

Existem vários relatórios independentes da Oracle notificando privadamente os clientes afetados e confirmando que ocorreu uma violação de dados. Por outro lado, os detalhes permanecem obscuros e parecem haver algumas informações conflitantes.

A Bloomberg soube por pessoas familiarizadas com o assunto de que a Oracle começou a informar privadamente os clientes sobre uma violação de dados que impactou nomes de usuários, chaves de acesso e senhas criptografadas. O FBI e a CrowdStrike estão investigando o suposto crime.

De acordo com algumas fontes, a Oracle está informando aos clientes que o incidente envolveu um ambiente legado que não está em uso há 8 anos e que as credenciais comprometidas representam pouco risco. Uma fonte diferente disse à publicação que algumas das credenciais comprometidas são de 2024.

Como o ataque ocorreu?

A empresa de segurança CybelAngel soube de uma fonte não identificada que os servidores em nuvem ‘Gen 1’ foram afetados (os servidores mais novos, os ‘Gen 2’, não foram afetados) e que as informações comprometidas têm pelo menos 16 meses e não incluem detalhes pessoais completos.

“Nossa fonte, que não estamos nomeando conforme solicitado, está relatando que a Oracle supostamente identificou um invasor que estava no serviço de identidade compartilhada já em janeiro de 2025”, disse a CybelAngel.

“Essa exposição foi facilitada por meio de um exploit Java de 2020 e o hacker conseguiu instalar um webshell junto com um malware, que tinha como alvo específico o banco de dados Oracle IDM, conseguindo exfiltrar dados. A Oracle supostamente tomou conhecimento de uma potencial violação de dados no final de fevereiro e investigou esse problema internamente”, acrescentou. “Em poucos dias, a Oracle aparentemente conseguiu remover a ameaça quando a primeira demanda por resgate foi feita no início de março”.

O hacker afirma que informações de 2025 também foram comprometidas.

O ataque realmente ocorreu?

O pesquisador de segurança cibernética Kevin Beaumont, que acompanha a história, soube de clientes da nuvem da Oracle que as notificações da empresa foram apenas verbais, que não há notificações por escrito.

“A Oracle esta tentando fazer declarações sobre o Oracle Cloud e usar palavras muito específicas para evitar responsabilidade. Isso não está certo. A Oracle precisa falar clara, aberta e publicamente o que ocorreu, como isso impacta os clientes e o que eles estão fazendo sobre isso”, disse o pesquisador.

A vida da Oracle não está fácil

Relatos de um hacking aparentemente não relacionado com o Oracle Health também têm circulados nos últimos dias. De acordo com o site Bleeping Computer, as informações de pacientes de várias organizações de saúde dos EUA foram comprometidas naquele incidente.

Conclusão?

Realmente a Oracle confirmou que houve um hacking em seus sistemas de nuvem, mas não ficou claro 100% se ele ocorreu em tempos atuais, por mais que possam existir alguns relatos do hacking ser de 2025.

O que achou do post?

Créditos:

https://www.securityweek.com/oracle-confirms-cloud-hack/

Um alerta de segurança crítico foi emitido para administradores de sites Wordpress após a descoberta de duas vulnerabilidades de alta gravidade no plugin “WP Ultimate CSV Importer”.

Com mais de 20 mil instalações ativas, as falhas no plugin representam um risco significativo para os sites afetados, podendo levar ao controle completo do site pelos invasores.

Com mais de 20.000 instalações ativas, as falhas do plugin representam um risco significativo para os sites afetados, podendo levar à tomada completa do site por invasores.

Exploits de upload e exclusão de arquivos

As vulnerabilidades, catalogadas como CVE-2025-2008 e CVE-2025-2007, foram divulgadas de forma ética em março de 2025 pelo pesquisador de segurança “mikemyers” através do Wordfence Bug Bounty Program:

CVE-2025-2008: Upload de arquivo arbitrário

A funcionalidade de importação do plugin não tinha possuía uma validação adequada do tipo de arquivo, permitindo que invasores autenticados com acesso de nível de assistente ou superior, carregassem arquivos de forma arbitrária, incluindo scripts PHP (e tem gente falando que o PHP morreu) maliciosos. O código carregado poderia então ser executado para se obter controle remoto do servidor onde o site estaria hospedado.

CVE-2025-2007: Exclusão arbitrária de arquivo

Um erro na função de exclusão de arquivo do plugin permitiu que invasores excluíssem qualquer arquivo no servidor, como o arquivo crítico wp-config.php. A exclusão deste arquivo força o site a retornar a um estado de configuração do zero, potencialmente permitindo que invasores redirecionem o site para um banco de dados sob seu controle para exploração posterior.

Ambas as vulnerabilidades receberam altas pontuações CVSS, de 8.8 e 8.1, respectivamente, refletindo o sério risco que representam.

Correção das vulnerabilidades

Após a notificação das vulnerabilidades em 5 de março deste ano, a criadora do plugin, a Smackcoders, agiu prontamente. Após uma colaboração com o time do Wordfence, uma versão corrigida (7.19.1) foi lançada em 25 de março deste ano.

Usuários do Wordfence com plugins de segurança ativos, estão protegidos desde a divulgação das vulnerabilidades, mas atualizações gerais continuam sendo essenciais.

Usuários e administradores precisam atualizar o plugin para a versão corrigida

Todos os usuários do plugin WP Ultimate CSV Importer devem atualizar imediatamente para a versão 7.19.1 ou superior.

Os administradores devem garantir que seus sites não estão executando versões vulneráveis, pois essas explorações podem levar a resultados sérios, desde violações de dados até a invasão dos sites.

A descoberta dessas e outras vulnerabilidades destaca a necessidade contínua de vigilância na manutenção da segurança de sites WordPress. Não basta apenas colocar um site em operação e não se preocupar com a segurança dele.

Dica do Canal Hacker

Empresas que possuem sites funcionando sob o WordPress precisam saber o que está “rolando debaixo do capô”. Muitas instalações são mantidas por empresas de marketing e desenvolvimento de sites, onde muitas delas, acabam não se preocupando com a segurança dos sites desenvolvidos, em manter os plugins atualizados sempre, etc. Sendo o caso, converse com a sua agência para que o melhor seja feito.

De qualquer forma, caso a empresa em que trabalha ou uma agência, seja a responsável direta por manter a estrutura do site, pense então na segurança. Mas também não saia atualizando plugin “à torto e à direita”. Converse com os desenvolvedores do seu site e explique a necessidade de atualizar o plugin, para que seja validado a necessidade de recodificação da aplicação, de forma que se adeque à nova versão do plugin.

Sendo a sua empresa ou uma agência, responsável por manter a estrutura e desenvolvimento site, é a imagem da empresa que está em jogo. Realize varreduras recorrentes para saber se está vulnerável ou não.

O que achou do post?

Créditos:

https://gbhackers.com/20000-wordpress-sites-at-risk/

Ainda em fase de testes, o recurso permitirá em breve que usuários corporativos do Gmail enviem e-mails com Criptografia de Ponta a Ponta (E2EE/End-to-End Encryption) para qualquer caixa de entrada de contas Gmail, e depois, para qualquer caixa de entrada, até o final do ano.

Esta é uma medida de segurança aprimorada, uma alternativa ao protocolo Secure/Multipurpose Internet Mail Extensions (S/MIME), que requer o aquisição, o gerenciamento e a implementação de certificados por usuário para ser utilizado.

No modelo S/MIME “os usuários finais precisam descobrir se eles e os destinatários possuem o S/MIME configurado (poucos têm), e então, passar pelo trabalho de trocar certificados antes que os e-mails criptografados possam ser trocados”, observa o Google.

Como a nova abordagem vai funcionar com o E2EE?

O Google diz que a nova abordagem simplifica significativamente as coisas ao permitir o uso do E2EE para qualquer mensagem, independentemente do destinatário, por meio de chaves de criptografias controladas pela organização, sem a necessidade de investimento em recursos adicionais, como a configuração de S/MIME ou o gerenciamento de certificados.

As mensagens enviadas para caixas de entrada do Gmail são automaticamente descriptografadas e disponibilizadas aos destinatários. Se enviadas para um serviço de e-mail diferente, o destinatário receberá um convite para visualizar a mensagem em uma versão restrita do Gmail e terá a opção de usar uma conta de convidado do Google Workspace para interagir com ela.

Caso o serviço de e-mail do destinatário possua o S/MIME configurado, o Gmail entregará a mensagem E2EE usando este protocolo.

“Os times de TI também têm a opção de exigir que todos os destinatários externos (mesmo sendo usuários do Gmail) usem a versão restrita do Gmail Workspace. Isso ajuda a garantir que os dados da organização não sejam armazenados em servidores e dispositivos de terceiros”, explica o Google.

O novo recurso, diz o Google, aproveita a criptografia no lado do cliente (CSE), um controle técnico do Workspace que permite que as organizações protejam e-mails, documentos e outros recursos usando chaves de criptografia que elas controlam e armazenam fora infraestrutura do Google.

“Os dados são criptografados no cliente antes de serem transmitidos ou armazenados na nuvem do Google, tornando-os indecifráveis para a própria Google e outras entidades terceirizadas e ajudando a atender requisitos regulatórios, como a soberania dos dados, HIPAA e controles de exportação”, explica o Google.

Na terça-feira, dia 1 de abril, o Google também anunciou a disponibilidade geral de vários recursos de segurança no Gmail, incluindo o modo padrão CSE, prevenção contra perda de dados (DLP), rótulos de classificação de mensagens e um novo modelo de IA para proteção contra ameaças.

O que achou do post?

Créditos:

https://www.securityweek.com/gmail-brings-end-to-end-encrypted-emails-to-all-enterprise-users/

Muito se falou sobre a Cellebrite, ferramenta utilizada para ajudar na solução do caso Vitória (leia esta e esta outra notícia para saber mais).

A Cellebrite é uma tecnologia de ponta utilizada por vários governos e empresas do mundo inteiro. Existem versões de software e de hardware, como o UFED 4PC, UFED Touch3 Ruggedized Tablet, UFED Ruggedized Laptop e o Cellebrite Forensic Workstation (estação forense de alto desempenho). Maiores informações aqui e aqui.

É de grande notoriedade os benefícios que estas soluções da Cellebrite trazem na solução de crimes, seja em governos ou do setor privado. Mas nem tudo são flores quando determinados governos/autoridades e empresas utilizam ferramentas para determinados fins, se é que me entendem.

Autoridades usam spyware e ferramenta de extração forense da Cellebrite para hackear jornalistas e ativistas

Em um relatório publicado do site da Anistia Internacional, em dezembro de 2024, intitulado “Serbia: “A Digital Prison”: Surveillance and the suppression of civil society in Serbia”, relata como produtos forenses de telefonia móvel desenvolvidos pela empresa israelense Cellebrite seriam usados para extrair dados de dispositivos móveis pertencentes a jornalistas e ativistas.

O relatório também revela como a polícia sérvia e a Agência de Segurança e Informação (Bezbedonosno-informativna Agencija – BIA) do país utilizou um spyware personalizado para o Android, o NoviSpy, para infectar secretamente dispositivos de indivíduos durante períodos de detenção ou em abordagens policiais.

Como a Cellebrite e o NoviSpy foram usados para comprometer estes dispositivos?

O NoviSpy pode capturar dados confidenciais de um telefone e fornecer recursos, como ligar o microfone ou a câmera de um telefone remotamente enquanto as ferramentas forenses da Cellebrite foram usadas para desbloquear o telefone antes da infecção por spyware e também permitir a extração de dados do dispositivo.

Em pelo menos dois casos, a Anistia Internacional teria descoberto evidências de que exploits (software que tira vantagem de uma vulnerabilidade do dispositivo alvo) da Cellebrite UFED teriam sido usados para contornar mecanismos de segurança de dispositivos Android, permitindo que as autoridades instalassem secretamente o NoviSpy durante abordagens policiais, por exemplo.

Em fevereiro de 2024, o jornalista investigativo sérvio Slaviša Milanov foi preso e detido pela polícia sob o pretexto de realizarem um teste de bafômetro. Enquanto estava detido, Slaviša foi interrogado por policiais à paisana onde questionavam sobre seu trabalho jornalístico. Seu telefone Android estava desligado quando o havia entregue à polícia e nenhum momento ele foi questionado e nem precisou fornecer uma senha. Após sua liberação, Slaviša percebeu que seu telefone parecia ter sido adulterado e os dados de seu telefone coletados.

Ele solicitou que o Laboratório de Segurança da Anistia Internacional conduzisse um análise forense em seu telefone - um Xiaomi Redmi Note 10S. A perícia revelou que a solução UFED da Cellebrite havia sido usada para desbloquear secretamente o telefone de Slaviša durante sua detenção.

Um segundo caso no relatório, envolvendo um ativista ambiental, Nikola Ristić, encontrou evidências forenses semelhantes de produtos da Cellebrite usados para desbloquear um dispositivo para então permitir a infecção seguinte pelo NoviSpy.

Em fevereiro deste ano, o site da Anistia Internacional publicou uma matéria comentando sobre a Cellebrite ter interrompido o uso de produtos na Sérvia após o relatório emitido pela Anistia em dezembro/2024.

Detalhes sobre o NoviSpy

O NoviSpy foi projetado para coletar vários tipos de informações de telefone comprometidos, incluindo capturas de tela de todas as ações no dispositivos, geolocalização dos alvos, gravações de áudio e microfone, arquivos e fotos. Ele é instalado por meio do Android Debug Bridge (adb) e é composto por dois aplicativos:

• NoviSpayAdmin (com.serv.services): solicita permissões extensas para coletar registros de chamadas, mensagens SMS, listas de contatos e para gravar áudio pelo microfone

• NoviSpyAccess (com.accesibilityservice): tira proveito dos serviços de acessibilidade do Android para coletar furtivamente prints de tela, contas de e-mail e aplicativos de mensagens como o Signal e WhatsApp, exfiltrar arquivos, rastrear a localização e ativar a câmera

Ferramenta forense da Cellebrite poderia conter falhas de segurança que permitiriam a execução arbitrária de comandos na própria ferramenta?

Moxie Marlinspike, criador do popular aplicativo de mensagens criptografadas Signal, anunciou em um post de abril de 2021, no site Security Affairs, que as ferramentas forenses da Cellebrite são afetadas por diversas vulnerabilidades que podem ser exploradas para se conseguir execução arbitrária de código no alvo.

Em dezembro de 2020, a Cellebrite anunciou em sua página que a ferramenta Physical Analyzer seria capaz de descriptografar mensagens e dados do aplicativo de mensagens Signal.

Moxie destacou que “os dados que o software da Cellebrite precisa extrair e exibir são, em última análise, gerados e controlados pelos aplicativos no dispositivo, não por uma fonte “confiável”, então a Cellebrite não pode fazer nenhuma suposição sobre a confiabilidade dos dados que está recebendo. Este é o espaço em que virtualmente todas as vulnerabilidades de segurança podem surgir”, diz a postagem publicada pelo criador do Signal. “Como quase todo código da Cellebrite existe para analisar entradas não confiáveis que podem ser formatadas de forma inesperada para explorar corrupção de memória ou outras vulnerabilidades no software de análise, pode-se esperar que a criadora da ferramenta tenha sido extremamente cautelosa. Olhando para o UFED e o Physical Analyzer, no entanto, ficamos surpresos ao descobrir que muito pouco cuidado parece ser sido dado à segurança do próprio software. Faltam defesas de mitigação de exploração padrão da indústria e muitas oportunidades de exploração estão presentes”.

O especialista ainda explicou que a falha poderia ser explorada de várias maneiras, bastando incluir um arquivo especialmente formatado, mas inócuo, em qualquer aplicativo de um dispositivo que, quando analisado pelo software da Cellebrite, poderia acionar a exploração.

Ele detalha: “ao incluir este arquivo especialmente criado dentro de um dispositivo que será analisado pela Cellebrite, é possível executar um código que modifica não apenas o relatório da ferramenta criado naquela varredura, mas também em todos os relatórios gerados anteriormente e no futuro, não somente neste, mas em todos os dispositivos. A execução arbitrária de comando inclui inserir ou remover textos, e-mails, fotos, contatos, arquivos ou quaisquer outros dados, sem alterações detectáveis de registro de data e hora ou de verificações de checksum”.

O pesquisador compartilhou um video de uma POC do ataque que demonstra como acionar o problema ao analisar arquivos armazenados no dispositivo. O payload usado pelo especialista utiliza a API do MessageBox para Windows para entregar uma mensagem ao usuário (pra quem é fã do filme Hackers, de 1995, vai curtir a montagem):

Moxie também notou que o instalador do Packet Analyzer inclui pacotes MSI assinados digitalmente pela Apple e aparentemente extraídos do instalador do iTunes para Windows 12.9.0.167. Ambos os pacotes importam DLLs para permitir que ferramentas forenses extraiam dados de dispositivos iOS.

“Parece improvável para nós que a Apple tenha concedido à Cellebrite uma licença para redistribuir e incorporar DLLs da Apple em seu próprio produto, o que poderia representar um risco legal para a Cellebrite e seus usuários”, conclui o especialista.

O que podemos dizer?

A forma de atuação de ferramentas como as da Cellebrite, no que diz respeito ao hacking executado em dispositivos alvo, não seria novidade e nem nada milagroso. Em muitos casos, até facilitado pelas fabricantes de dispositivos móveis, se é que me entende.

Estas ferramentas exploram vulnerabilidades e conseguem acesso ao dispositivo. “Simples” assim. No caso do Cellebrite UFED e Forensic Workstation, que utilizam um hardware dedicado, o sucesso pode ser obtido em menos tempo devido ao poder de processamento do hardware. Junte isso à gama de exploits utilizados, e Voilá: informações podem ser descobertas em pouco tempo.

Estas ferramentas quando usadas em governos que possuem uma certa veia ditatorial ou de perseguir opositores, ou ainda, o de simplesmente invadir a privacidade de cidadãos honestos, acaba sendo um grande filão para a criadora do Cellebrite. É basicamente um contrato bastante “vantajoso” $$.

O lobby dentro de um governo para que x ferramenta seja utilizada é grande e os envolvidos podem se dar bem. Veja esta matéria no The Intercept (confira a versão traduzida pelo Google Translator), de fevereiro de 2022, onde é relatado o uso em massa desta ferramenta no governo americano.

No que diz respeito à veracidade das informações encontradas, pensando que elas podem ser manipuladas previamente, até que ponto uma investigação não seria comprometida? Teria validade judicial?

Como falei no disclaimer, não estou aqui pra defender ninguém, o foco aqui foi, é, e sempre será, o de analisar criticamente e parcialmente as possíveis situações sobre o tema e fazer questionamentos pertinentes.

Para saber mais sobre possíveis relações entre a ferramenta, spyware e vulnerabilidades, realize a consulta no Google abaixo:

https://www.google.com/search?q=%22cellebrite%22+%2B+%22spyware%22+%2B+%22vulnerability%22

O que achou do post?

Créditos:

https://securityaffairs.com/117116/mobile-2/cellebrite-forensics-tool-flaw.html

https://boletimsec.com.br/spyware-novispy-abusa-de-ferramentas-forenses-para-roubar-dados-sensiveis/

https://www.amnesty.org/en/latest/news/2024/12/serbia-authorities-using-spyware-and-cellebrite-forensic-extraction-tools-to-hack-journalists-and-activists/

https://thehackernews.com/2024/12/novispy-spyware-installed-on.html

https://www.business-humanrights.org/en/latest-news/cellebrite-products-allegedly-used-to-spy-on-asylum-seekers-in-morocco/

https://www.theguardian.com/world/2023/apr/06/labor-under-pressure-to-ban-use-of-israeli-spyware-in-investigations-of-alleged-welfare

https://theintercept.com/2022/02/08/cellebrite-phone-hacking-government-agencies/

“A grande vitória é aquela que não exige batalha” – Sun Tzu.

Essas palavras milenares do antigo estrategista militar chinês Sun Tzu, a que o livro ‘A Arte da Guerra’ lhe é atribuído, são muito importantes nos dias atuais, ainda mais quando trazemos para o cenário da cibersegurança.

Seguindo a idéia de Sun Tzu, a melhor defesa é evitar um ataque. Tendo uma arquitetura e abordagem corretas, é possível proteger seu ambiente contra essa corrida armamentista da cibersegurança, para que, quando o invasor atacar, você simplesmente não esteja lá.

Pratique a prevenção de ataques

Impedir ataques é um dos três aspectos críticos da segurança corporativa, junto com a prevenção, que garante que as redes e sistemas sejam protegidos contra ataques, e a detecção, que identifica anomalias e fornece um meio para responder aos ataques.

A prevenção que estamos falando é frequentemente neglicenciada ou incluída numa conversa mais generalista de zero-trust (confiança zero), mas abordá-la no primeiro estágio do gerenciamento de risco traz imensos benefícios.

A melhor maneira de impedir um ataque é garantir que ele nunca aconteça. Na época de Sun Tzu, isso significava priorizar as informações para obter vantagem tanto estratégica quanto tática. Na defesa cibernética moderna, isso se traduz no aproveitamento de todo o poder dos dados, automação e das políticas.

A maneira mais simples de evitar um ataque é minimizar a superfície de ataque. Para fazer isso, você precisa:

• Eliminar sua superfície de ataque externa migrando para o acesso zero-trust fornecido pela nuvem com um modelo de acesso apenas de saída;

• Reduzir a superfície de ataque interna aproveitando a segmentação de usuário para um aplicativo de zero trust para os programas privados;

• Minimizar a superfície de ataque de endpoint individual protegendo o tráfego de Internet do usuário final;

• Reduzir a superfície de ataque de dados com controles de SaaS (Software-as-a-Service ou Software como Serviço), como uma solução de CASB (Cloud Access Security Broker), prevenção de perda de dados (DLP), dentre outras soluções.

A grande vantagem do zero-trust é que cada dispositivo, aplicativo e usuário é distinto(a). Encontrar o caminho para um dispositivo não permite que você veja todo o ambiente, porque nada confia em nada. Se pudermos tornar essas superfícies de ataque furtivas individuais, poderemos aumentar ainda mais nosso jogo de segurança.

Você não pode atacar o que não pode ver

Os gateways de VPN tradicionais precisam que uma porta de entrada (um serviço que está esperando por conexões em determinada porta TCP) esteja aberta e que pode ser descoberta por qualquer pessoa na Internet. Conectar um endpoint a uma rede expõe toda ela (e os endpoints que se conectam a ela) a danos potenciais de ransomware ou de ameaças internas.

A remoção desta porta de entrada elimina o ponto de apoio para o invasor e a conexão de usuários aos sistemas protege a própria rede, bem como os dispositivos dos quais os usuários estão se conectando. Uma solução de “port-knocking” pode ser uma das alternativas.

O antigo método de proteção “castle-and-moat” não é mais um modelo de segurança viável. Este modelo fala de paredes e barreiras, mas uma vez que alguém entrou, as pessoas não tinham nenhum controle dentro do castelo. No modelo zero-trust, ninguém sabe onde está a sua infraestrutura, mesmo quando você acompanha visitantes/funcionários até a sua infra, eles apenas têm acesso à partes da sua infraestrutura que você mostrar. O restante da sua infraestrutura estará completamente oculta.

Do desenvolvimento à avaliação de risco, reduzir a superfície de ataque com modernas tecnologias ajudará a sua empresa a se proteger melhor e permitirá que você remova partes da sua infraestrutura desta corrida armamentista de cibersegurança.

Como Sun Tzu também disse: “Vencer cem vitórias em cem batalhas não é o auge da habilidade. Vencer o inimigo sem lutar é o auge da habilidade”.

A cibersegurança é boa para os negócios

A segurança é frequentemente ligada a coisas negativas, como violações de dados, multas regulatórias e interrupção dos negócios. No entanto, as vantagens raramente são destacadas. Confira algumas:

• Reter clientes mostra engajamento. Criar uma cultura que prioriza a segurança e privacidade dos dados mostra um alto nível de responsabilidade social corporativa. As empresas descuidadas com dados pessoais e que sofrem uma invasão geralmente estão sujeitas a reações negativas por parte dos consumidores e parceiros de negócios. Por outro lado, tomar a iniciativa de evitar ataques melhora a reputação de uma empresa.

• A conformidade leva a oportunidades de negócios. A maioria das empresas depende de uma rede de parceiros de negócios. À medida que as colaborações se estendem para a nuvem e redes híbridas, demonstrar conformidade com a segurança torna-se um requisito para fazer negócios. Com o crescente número de ataques, as empresas estão analisando com atenção as práticas de segurança de potenciais parceiros como um pré-requisito para fazer negócios.

• A inovação supera a inatividade. As empresas priorizam a inovação que impulsiona o crescimento. Políticas ágeis de cibersegurança podem permitir que as empresas continuem seu trabalho sem interrupção, aumentando a receita e os lucros. No entanto, em um estudo conduzido pela Cisco, 71% dos executivos disseram que as preocupações com a segurança cibernética impedem a inovação em suas empresas. Entre os entrevistados, 39% disseram ter interrompido as iniciativas de missão crítica devido a problemas de segurança cibernética. Essas respostas destacam como as vulnerabilidades de segurança podem prejudicar a capacidade de uma organização de inovar.

Com uma simples mudança de perspectiva, os líderes de negócios podem abordar a segurança no sentido do que ela significa para as oportunidades de negócios, permitindo assim uma discussão com mais fundamento do que baseada no medo quando chega a hora de definir estratégias de segurança corporativa.

Referências:

https://www.darkreading.com/attacks-breaches/how-sun-tzu-s-wisdom-can-rewrite-the-rules-of-cybersecurity

https://pt.wikipedia.org/wiki/A_Arte_da_Guerra

Chamada de GrassCall, uma campanha de ataque cibernético recente, através de entrevistas fake, tem como alvo pessoas que estão a procura de emprego nos setores de criptomoedas e Web3.

Atribuído ao grupo cibercriminoso russo “Crazy Evil”, a campanha utiliza anúncios de vagas fraudulentos em plataformas como LinkedIn, WWellFound e CryptoJobsList para atrair vítimas para baixar software malicioso disfarçado de aplicativo de videoconferência.

O malware foi criado para roubar informações confidenciais, como credenciais de login, carteiras de criptomoeadas e cookies de autenticação de dispositivos Windows e macOS.

Como funciona o ataque?

Os fraudadores criam empresas falsas, como "ChainSeeker.io", contendo informações completas com aquela aparência profissional e ainda perfis em redes sociais.

Eles anunciam oportunidades de empregos atraentes para cargos como “Analista de Blockchain” ou “Gerente de Mídia Social”. Depois que a vítima se candidata, é contactada por um falso Diretor de Marketing (CMO) via Telegram.

O CMO instrui a vítima para baixar um aplicativo chamado GrassCall de um site falso sob o pretexto de conduzir uma entrevista online.

Após a instalação, o GrassCall implanta um malware adaptado ao sistema operacional da vítima.

Para usuários do Windows, ele instala infostealers, como o Rhadamanthys ou Trojans de Acesso Remoto (RATs), enquanto que usuários do macOS recebem o AMOS Stealer.

Estes payloads extraem credenciais armazenadas, dados de carteira de criptomoedas e outras informações de credenciais.

Os dados roubados geralmente são enviados para canais do Telegram, onde são monetizados.

Ameaças e implicações em evolução

Relatórios recentes indicam que o grupo Crazy Evil mudou para uma nova interação desta campanha, agora chamada de VibeCall, que emprega táticas semelhantes, mas com cepas de malware atualizadas.

O foco do grupo em usuários de criptomoedas destaca a sofisticação crescente do crime cibernético com motivação financeira.

Centenas de pessoas foram vítimas desta campanha, com muitos relatando perdas financeiras significativas ao terem suas carteiras de criptomoedas drenadas.

Ofereça uma assinatura de presente

Especialistas em segurança cibernética enfatizam a importância do cuidado ao se candidatar a empregos em setores de alto risco.

Os usuários são aconselhados a:

• Evitar baixar aplicativos de fontes não verificadas.

• Verificar ofertas de emprego e detalhes da empresa antes de se candidatar

• Usar ferramentas robustas de proteção de endpoint que podem detectar e bloquear infostealers

À medida que cibercriminosos continuam a explorar tecnologias e setores emergentes, as pessoas que estão à procura de emprego devem permanecer cautelosas e adotar práticas fortes de segurança cibernética para proteger suas informações pessoais e profissionais.

Créditos:

https://gbhackers.com/grasscall-malware-targets-job-seekers/

O Google publicou em 3 de fevereiro deste ano, o seu Boletim de Segurança do Android de fevereiro, que aborda um total de 47 vulnerabilidades que afetam dispositivos rodando o Android.

Uma das vulnerabilidades críticas afeta um driver chamado USB Video Class (UVC) do kernetl Linux e foi catalogada no CVE-2024-53104 com um risco de segurança significativo. O UVC trata-se de um padrão que possibilita a transmissão de vídeo por meio da interface USB.

Esta vulnerabilidade permite que invasores executem código remoto (RCE), podendo conseguir acesso não autorizado de leitura/gravação no sistema afetado.

Visão geral técnica da vulnerabilidade

A vulnerabilidade em questão ocorre pela análise inadequada de quadros marcados como UVC_VS_UNDEFINED dentro da função uvc_parse_format do driver UVC. Isso pode levar a erros de cálculos dos tamanhos dos buffers, resultando em gravações de memória fora dos limites.

Invasores podem explorar essa falha inserindo dispositivos USB maliciosos ou manipulando fluxos de vídeo, gerando estouros de buffer que substituem regiões subjacentes da memória. Com isso, podem realizar escaladas de privilégios locais sem que o sistema exija privilégios de execução adicionais.

Mesmo que a vulnerabilidade não possa ser explorada diretamente de forma remota, como mencionado, invasores podem tirar proveito falsificando dispositivos USB, o que torna a vulnerabilidade uma ameaça considerável à integridade e estabilidade do sistema.

Versões do Kernel Afetadas

A vulnerabilidade afeta todas as versões do kernel do Linux, desde a 2.6.26 até as últimas versões corrigidas.

Para mitigar esse risco, os usuários são orientados a atualizar seus dispositivos para o níveis de patch com as datas 2025-02-01 ou 2025-02-05, que incluem correções para essas e outras vulnerabilidades em vários componentes do Android.

Além do CVE-2024-53104, o Google também corrigiu uma vulnerabilidade (CVE-2025-0088) relacionada ao escalonamento de privilégios no nível do kernel que afeta o mremap , uma função crítica de gerenciamento de memória.

Além disso, outras vulnerabilidades de alta gravidade (CVE-2025-0091, CVE-2025-0095, CVE-2025-0096) que afetam o Android da versão 12 a 15 também podem permitir que invasores executem código arbitrário com privilégios aumentados.

Em se tratando de algo crítico (CVE-2024-53104) e o seu potencial de exploração, é importante que os usuários do Android instalem as atualizações de segurança mais recentes o quanto antes.

Como atualizar meu Android?

Para atualizar as atualizações em seu dispositivo, siga as etapas seguintes (a descrição das opções e telas podem ser diferentes, dependendo da versão utilizada do Android):

• Acessar Configurações

• Tocar na opção Atualização de Software

• Em seguida na opção Baixar e Instalar

O que achou do post? Fale nos comentários!

Créditos:

https://gbhackers.com/android-security-update-fixes-linux-kernel-rce-flaw/

https://cyberinsider.com/google-fixes-zero-day-flaw-exploited-in-targeted-android-attacks/

https://source.android.com/docs/security/bulletin/2025-02-01?hl=pt-br

A empresa Wiz Research descobriu um banco de dados ClickHouse público pertencente à DeepSeek, em que estão expostos históricos de bate-papo, secret keys e detalhes de backend. Após a divulgação (ética), a DeepSeek prontamente corrigiu o problema.

“Em minutos, encontramos um banco de dados ClickHouse acessível publicamente vinculado ao DeepSeek, completamente aberto e não autenticado, expondo dados sensíveis. Ele estava hospedado em oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000”, diz o relatório publicado pela Wiz.

“Este banco de dados continha um volume significativo de histórico de bate-papo, dados de backend e informações confidenciais, incluindo informações de log, APIs secrets e detalhes operacionais”.

Os pesquisadores observaram que o vazamento poderia ter permitido que invasores assumissem o controle total do banco de dados e potencialmente aumentassem os privilégios dentro do ambiente da DeepSeek, sem qualquer autenticação.

Os especialistas usaram a interface HTTP do ClickHouse e acessaram a url /play para executar consultas SQL arbitrárias por meio do navegador.

Ao executar uma consulta SHOW TABLES, os pesquisadores obtiveram uma lista completa de conjuntos de dados, incluindo a tabela log_stream com mais de um milhão de entradas de log contendo dados altamente sensíveis. A tabela incluía as seguintes colunas:

• timestamp – Registros de 6 de janeiro de 2025

• span_name – Referências a vários endpoints internos da API DeepSeek

• string.values ​​– Logs de texto simples , incluindo histórico de bate-papo , chaves de API, detalhes de backend e metadados operacionais

• _service – Indicando qual serviço DeepSeek gerou os logs

• _source – Expondo a origem das solicitações de log , contendo histórico de bate-papo, chaves de API, estruturas de diretório e logs de metadados do chatbot

Os pesquisadores explicaram que não executaram consultas intrusivas além da enumeração, para preservarem as práticas éticas de pesquisa.

“Esse nível de acesso representou um risco crítico para a própria segurança do DeepSeek e para seus usuários finais. Um invasor poderia não apenas recuperar logs sensíveis e mensagens de bate-papo em texto puro, mas também poderiam potencialmente exfiltrar senhas em texto puro e arquivos locais junto com informações de propriedade diretamente do servidor por meio de consultas como: SELECT *FROM (‘'filename’) dependendo da configuração do ClickHouse”, conclui o relatório”.

Créditos:

https://securityaffairs.com/173666/data-breach/deepseek-db-exposed-highly-sensitive-information.html

A empresa de cibersegurança, Silverfort, descobriu uma configuração incorreta que pode “bypassar” uma determinada política de grupo do Active Directory (AD) feita para desabilitar o NTLMv1, permitindo assim que autenticações por este protocolo inseguro continuem funcionando.

Qual é o problema com o NTLMv1?

Ele é um protocolo de autenticação desatualizado com vulnerabilidades de segurança conhecidas, tornando-o um alvo principal para invasores. A vulnerabilidade, descoberta pelo pesquisador sênior de segurança Dor Segal, alertou que mesmo que as empresas implementem a política para desativar o NTLMv1 estarão expostas a autenticações por meio deste protocolo.

Certas configurações locais podem ignorar esta restrição feita na política de grupo ao solicitar especificamente a autenticação NTLMv1. Invasores podem então explorar esta vulnerabilidade para interceptar o tráfego, quebrar credenciais de usuários e obter acesso não autorizado ao sistema. Além disso, ao explorar as vulnerabilidades do protocolo em questão, poderão se mover lateralmente ou aumentar seus privilégios, expondo as empresas a riscos significativos.

“É importante observar que clientes (estações de trabalho) Windows com a configuração LMCompatibilityLevel 3 e posterior ativada não gerarão o tráfego NTLMv1 se solicitado. No entanto, clientes não Windows não são protegidos. Se um sistema solicitar uma mensagem NTLMv1 de um cliente não Windows, o Controlador de Domínio poderá aprovar a autenticação e gerar uma chave de sessão”, observaram os pesquisadores em um post.

Olhando na imagem acima, temos alguns pontos interessantes:

• Em ambientes que usam o AD, 64% das contas de usuário regularmente se autenticam via NTLM

• 48% das contas se autenticam tanto em NTLM e Kerberos

• 36% das contas realizam mais de 80% de autenticação via Kerberos

Mesmo com a Microsoft reconhecendo o problema e ter anunciado (em 2023…) planos para remover completamente o suporte ao NTLMv1 em versões futuras do Windows, as empresas ainda precisam tomar medidas proativas para mitigar o risco. Estas medidas incluem habilitar logs de auditoria para autenticação NTLM, identificar sistemas/aplicativos que utilizem o NTLMv1 e implementar métodos de autenticação modernos, via SSO ou Kerberos, a fim de substituir o NTLMv1.

Não é de hoje que esta versão do NTLM é comentada no meio da segurança da informação. O Mimikatz come solto!

Créditos:

https://hackread.com/researchers-ntlmv1-bypass-active-directory-policy/

https://www.silverfort.com/blog/ntlmv1-bypass-in-active-directory-technical-deep-dive/

Uma pesquisa recente revelou uma vulnerabilidade no fluxo da famosa autenticação “Fazer login o Google” do Google, que pode explorar uma peculiaridade na propriedade de um domínio para assim se obter acesso a dados confidenciais.

O login OAuth do Google não protege adequadamente para os casos em que alguém com má fé compra um domínio de uma startup que já “fechou as portas” e o utiliza para recriar contas de e-mail para ex-funcionários”, disse o cofundador e CEO da Truflle Security, Dylan Ayrey, em um relatório publicado na segunda-feira (13/01/25).

Mesmo que você não possa acessar dados de e-mails antigos, poderá utilizar essas contas para fazer login em vários produtos SaaS que a organização usou.

Essas contas incluíam acessos sensíveis em sistemas de RH que continham documentos fiscais, recibos de pagamento, informações de seguro, números de previdência social e muito mais, disse Ayrey.

O que é o OAuth?

OAuth, abreviação para Open Authentication (Autenticação Aberta). refere-se a um padrão aberto para delegação de acesso, permitindo que usuários concedam a sites ou aplicativos acessos às suas informações em outros sites sem ter que fornecer suas senhas. Isso é feito por meio de um token de acesso que verifica a identidade do usuário e permite que o serviço acesse o recurso ao qual o token se destina.

Quando o recurso “Fazer login com o Google” é usado para o login em um aplicativo como Slack, o Google envia ao serviço um conjunto de declarações sobre o usuário, incluindo seu endereço de e-mail e o domínio hospedado (o domínio em que usuário está realizando login pelo Google), que podem ser utilizadas (as declarações) para fazer login dos usuários em suas contas.

O problema

Continuando, isso também significa que, se um serviço depende exclusivamente dessas informações para autenticar usuários, também acabará abrindo uma porta para um cenário em que mudanças na propriedade de domínios podem permitir que um invasor recupere o acesso a contas antigas de funcionários.

O CEO da Truffle também destacou que o token referente ao OAuth ID do Google inclui um identificador exclusivo de usuário – a reivindicação sub – que na teoria poderia evitar o problema, mas que não foi considerado confiável. Vale comentar que o Entra ID da Microsoft inclui as reivindicações sub ou oid para armazenar um valor imutável por usuário.

Atualmente não existem muitas medidas de proteção que os provedores de software podem tomar contra esta vulnerabilidade de implementação do OAuth do Google.

Como indivíduo, após você ser desligado de uma empresa, acaba perdendo a capacidade de proteger seus dados nessas contas e ficará sujeito ao que ocorrer com o futuro desta empresa. Sem IDs imutáveis, as alterações de propriedade de domínios continuarão a comprometer as contas, disse Ayrey.

Créditos:

https://thehackernews.com/2025/01/google-oauth-vulnerability-exposes.html

Parece que um hacker brasileiro foi indiciado nos EUA por ter supostamente ameaçado divulgar dados roubados após uma invasão feita à rede de uma empresa em março de 2020.

Junior Barros de Oliveira, de 29 anos, de Curitiba, foi indiciado em 4 acusações de extorsão envolvendo informações obtidas de computadores protegidos e outras 4 por mensagens ameaçadoras, disse o Departamento de Justiça dos EUA (DoJ) em um indiciamento aberto no início desta semana.

A vítima, uma subsidiária brasileira sediada em Nova Jersey, teve seus computadores invadidos pelo réu, que então explorou o acesso obtido para possivelmente roubar informações confidenciais de cerca de 300 mil clientes em pelo menos 3 ocasiões.

Junior Barros teria então posteriormente enviado ao CEO da empresa uma mensagem de e-mail em setembro de 2020 utilizando um pseudônimo, onde teria exigido o pagamento de 300 bitcoins (cerca de 3,2 milhões de dólares na época) em troca de não vender os dados.

Um mês depois, o réu enviou a mensagem citada acima tanto para o CEO quanto para um executivo da subsidiária brasileira.

Em uma das mensagens enviadas a um executivo da empresa, Junior Barros disse que estava muito interessado em ajudá-los a resolver esta falha de segurança, mas disse que isso custaria uma taxa de consultoria de cerca de 75 bitcoins (800 mil dólares na época). O réu também forneceu instruções sobre como a vítima poderia efetuar o pagamento para uma carteira de bitcoin.

Cada uma das 4 ameaças de extorsão acarreta uma pena máxima de 5 anos de prisão e uma multa de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Da mesma forma, cada uma das 4 acusações por “apenas” enviar mensagens ameaçadoras, acarreta uma pena máxima de 2 anos de prisão e uma multa máxima de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Realmente o crime não compensa. O ser humano é falho. Deixa rastros. Mais cedo ou mais tarde será pego. Então não se anime em achar que é legal invadir ou derrubar sistemas. Por mais que seus objetivos sejam “legais”, as empresas não verão isso com bons olhos.

Quer “invadir” o sistema de uma empresa dentro de um contexto autorizado e ainda ganhar por isso? Faça parte de sistemas de Bug Bounty ofertado por várias empresas. A Hacker One oferece uma lista bem completa destes programas. Já no Brasil temos a Hackaflag e a Bug Hunt, empresas estas que possuem uma plataforma de Bug Bounty utilizada por diversos clientes. Veja este post do Anchises que mostra quais programas estão em curso nas empresas (post de 2022).

Créditos:

https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html

https://www.justice.gov/usao-nj/pr/brazilian-man-charged-making-extortionate-threats-publicize-stolen-data-obtained

Perseguir membros do Scattered Spider, o grupo de crimes cibernéticos conhecido por hackear grandes empresas utilizando técnicas de engenharia social, tem sido o objetivo principal da polícia americana nos últimos meses. Recentemente O FBI efetuou uma nova prisão, neste caso, de um hacker de 19 anos que mora em Fort Worth, Texas.

Remington Goy Ogletree é acusado por fazer parte de uma operação de phishing que ocorreu de outubro de 2023 a maio do ano passado, quando, de acordo com a denúncia, conseguiu obter credenciais e acesso não autorizado a duas empresas de telecomunicações e um banco nacional com sede nos EUA. Ele então roubou dados, incluindo chaves de API e criptomoedas, e vendeu acesso a outros agentes de ameaças na Dark Web, de acordo com a acusação.

Ele também é acusado de sequestrar uma das plataformas de telecomunicações para enviar cerca de 8,5 milhões de mensagens de phishing em uma tentativa de roubar criptomoedas. Ogletree também supostamente usou uma rede de telecomunicações hackeada para enviar mensagens de phishing a funcionários de uma instituição financeira não identificada com a intenção de roubar suas credenciais. A denúncia do FBI acrescentou que Ogletree invadiu uma segunda organização de telecomunicações para enviar mais 140.000 mensagens de texto fraudulentas de phishing.

Suspeito revela detalhes sobre a rede de crimes cibernéticos do Scattered Spider

Depois de ser preso em fevereiro, Ogletree admitiu fazer parte do grupo de hackers Scattered Spider.

"Conheço os principais membros do Scattered Spider", disse Ogletree aos policiais. "Qualquer atividade envolvendo empresas infectadas por ransomware... que não seja relacionada a criptomoedas, serão eles."

Ele continuou dizendo ao FBI que o Scattered Spider prefere mirar em empresas de terceiter como alvo organizações de terceirização de processos de negócios (BPO), "porque as empresas de terceirização têm menos segurança." Ele também disse à polícia que o Scattered Spider já comprometeu cinco das principais empresas de BPO, explicou a denúncia.

O grupo de ameaças Scattered Spider é bem conhecido por recrutar jovens falantes nativos de inglês para ajudar a executar esquemas descarados de engenharia social para roubar credenciais de login de funcionários. Algumas das violações mais infames do grupo incluem os ataques de ransomware de cassino do ano passado no Caesars e no MGM Resorts.

O FBI continua prendendo membros do Scattered Spider

Esta prisão é mais recente de uma série de operações do Scattered Spider. Há apenas alguns meses atrás, outros membros do Scattered Spider foram presos e acusados de vários crimes cibernéticos; quatro deles são americanos.

Em junho passado, um britânico de 22 anos foi preso pela polícia espanhola por sua conexão com o grupo de criminosos e foi encontrado com o controle de mais 27 milhões de dólares em Bitcoin. E em julho, um jovem de 17 anos foi preso no Reino Unido por sua relação com o grupo.

As prisões são boas notícias. No ano passado, a polícia foi criticada por não se esforçar em impedir que o grupo Scattered Spider cometesse mais crimes cibernéticos.

O FBI conseguiu capturar Ogletree por meio de uma falsa operação de lavagem de criptomoedas chamada "Cash Service". Quando ele se envolveu na operação de fachada para converter criptomoedas roubadas em dinheiro, eles conseguiram localizá-lo e efetuar a prisão, de acordo com a denúncia.

Créditos: https://www.darkreading.com/cyberattacks-data-breaches/texas-teen-arrested-scattered-spider-telecom-hacks

Uma empresa dos EUA com operações na China foi hackeada no início deste ano, como dito pela empresa de segurança Symentec. Acredita-se que a empreitada foi cometida por hackers chineses, que mantiverem acesso à rede da empresa por pelo menos 4 meses, possivelmente coletando informações confidenciais.

As descobertas da Symantec indicam que os hackers mantiveram o acesso entre os dias 11 de abril de 2024 até agosto deste ano, embora o invasão inicial possa ter ocorrido antes. Durante esse tempo, os hackers se moveram lateralmente pela rede da empresa, tendo acesso à vários servidores, incluindo servidores Exchange (serviço de email da Microsoft).

Isso sugere que talvez o objetivo inicial seria o do roubar dados de e-mail para fins de coleta de informações. De acordo com a postagem do blog da Symantec, os hackers utilizaram um mix de softwares legítimos e ferramentas opensource para executar seus ataques.

Utilizaram uma técnica chamada de DLL-sideloading, em que um código malicioso é carregado com softwares legítimos, como a exploração de ferramentas do Google e da Apple para este fim.

Além disso, utilizaram o Impacket, um kit de ferramentas Python para manipulação de protocolo de rede e o FileZilla (cliente de FTP/SSH), dentre outras.

Ligação com grupos APT chineses

Mesmo que o grupo de hackers seja desconhecido, a Symantec acredita que os autores do ataque estejam intimamente ligados ao grupo Daggerfly (Daggerfly (também conhecido como BRONZE HIGHLAND, StormCloud e Evasive Panda) e ao Crimson Palace.

Essa alegação tem como base o uso repetido da técnica DLL-sideloading em ataques passados. O Daggerfly é bem conhecido por utilizar esta técnica. Além disso, um dos arquivos maliciosos encontrados em um sistema comprometido com o nome textinputhost.dat, também foi associado a outro grupo chinês, o Crimson Palace. Esse grupo recentemente virou notícia por ter como alvo governos do sul da Ásia e de ter roubado segredos militares sensíveis.

Stephen Kowski , especialista em segurança cibernética da SlashNext, disse ao site Hackread.com que esse ataque é parte de uma tendência preocupante. “Hackers estão usando métodos cada vez mais sofisticados para obter acesso de longo prazo às redes da empresa”, disse ele.

Ele enfatizou também a necessidade de uma forte segurança em sistemas de e-mails e o monitoramento contínuo para detectar estes tipos de ataques.

Créditos:

https://hackread.com/chinese-hackers-breach-us-firm-network-for-months/

Nos últimos dias, mais precisamente no início do final de semana, lá pelo dia 30 de Novembro de 2024, começou a popular em alguns fóruns de discussão, algumas ocorrências envolvendo o ICP-Brasil, formalmente conhecido como Infraestrutura de Chaves Públicas Brasileira.

Emissão incorreta de certificado SSL em nome do Google?

Andrew Ayer, proprietário de um fórum de discussão que leva seu nome, comentou em uma postagem que o ICP-Brasil haveria emitido incorretamente um certificado em nome do Google.

No site Bugzilla, conhecido repositório de bugs relacionado aos produtos da Mozilla, como o navegador Firefox, foi aberto um bug sob o número 1934361 com o título “ICP-Brasil: Mis-issued certificate”, pelo usuário Fabien Hochstrasser.

O usuário fala do site crt.sh onde você pode consultar informações do certificado emitido pelo ICP-Brasil, como podemos ver a seguir:

Você pode baixar o referido certificado clicando no link Certificate (em destaque na imagem acima), abrir o arquivo em um editor de texto, copiar e colar o seu conteúdo no site https://www.sslshopper.com/certificate-decoder.html, para ver o seguinte resultado:

O usuário também relata que o domínio google.com possui um CAA RR que permite apenas que pki.goog emita certificados para este domínio (o usuário possui dúvidas se isto é uma prova concreta, pois a regra pode ter mudado, mas acredita que não mudou):

No site Digicert vemos que é possível que uma AC (autoridade certificadora) emita certificados em nome de um determinado domínio, desde que os seguintes requisitos sejam atendidos:

• Não seja encontrado uma configuração de CAA RR para seu domínio.

• Caso encontre uma configuração de CAA RR para o domínio, autorizando determinada AC a emitir esse certificado.

• Caso encontrem configurações de CAA RR para o domínio sem as tags de propriedade "issue" ou "issuewild".

A configuração de CAA garante que apenas as CAs autorizadas possam emitir certificados em nome de determinado domínio.

Quando não existe nenhum registro CAA para determinado domínio, qualquer pessoa pode emitir um certificado para o domínio.

O que é um CAA?

Citamos algumas vezes o termo CAA, mas o que ele significa?

Criado pela Internet Engineering Task Force (IETF) e descrito em RFC 6844, O CAA permite que o proprietário de um nome de domínio autorize tarefas designadas e específicas Autoridades de certificação (CAs) para emitir certificados SSL para seus nomes de domínio. (Este trecho foi retirado da url https://www.ssl.com/pt/article/certification-authority-authorization-caa-2/)

Domain Control Validation

Existe um processo chamado Domain Control Validation ou simplesmente DCV, em que consiste de métodos utilizados para provar que determinada CA tenha controle sobre determinado domínio. Maiores informações podem ser verificadas neste link.

No ticket da Bugzilla o usuário Michał Purzyński questiona se o ICP-Brasil ignora voluntariamente o CAA RR e se esta verificação faz parte do processo padrão de inclusão de domínios. Vimos que “teoricamente” faz parte.

Se o certificado em questão foi emitido pela Certisign ICP Brasil, algo no processo formal de emissão de certificados foi realmente ignorado?

Conclusão

Entendemos que o certificado em questão pode ter sido emitido para uso restrito em determinados ambientes (como mostrado neste link), mas situações como as mostradas neste post normalmente não podem passar em branco.

Creio que falta um pouco mais de clareza pelo ICP-Brasil ou Certisign sobre o processo da emissão deste certificado.

Caso conheça alguém que trabalhe em uma dessas empresas, o espaço aqui está aberto e teremos o enorme prazer em atualizar o post com a resposta.

Valeu!

Parece que voltamos no tempo e você vai entender. Em 2015, terroristas mataram cerca de 14 pessoas (e feriram tantas outras) numa festa em San Bernardino, California. Após esse fato, o FBI iniciou uma investigação intensa na vida dos terroristas, e nesse meio, os seus celulares. Mais precisamente, iPhones. No ano seguinte, em 2016, informaram que estavam com dificuldades para ter acesso aos dados contidos nos aparelhos (por conta da criptografia), com o DOJ (Departamento de Justiça dos EUA) chegando a “obrigar” a Apple a criar algum tipo de backdoor que permitisse o acesso. Como não tiveram ajuda da Apple, uma ““terceira pessoa” alheia ao conflito se ofereceu para ajudar os investigadores“.

Dei essa introdução toda, pois a história está se repetindo. É que o FBI está reclamando novamente sobre não conseguir ter acesso a aparelhos de celular por conta da criptografia.

Embora o FBI tenha conseguido invadir o celular do atirador do comício do Trump graças a um software fornecido pela Cellebrite, o diretor do FBI, Chris Wray está dizendo ao Congresso Americano que simplesmente conseguir invadir um telefone já não é suficiente. Toda a criptografia deve acabar, não apenas a proteção do dispositivo em si.

Wray disse que o FBI está enfrentando desafios para “entrar” em aplicativos de mensagens criprografadas usados por Thomas Matthew Crooks, que foi morto por uma equipe de contra-atiradores do serviço secreto após disparar pelo menos oito tiros em direção ao palco em que Trump estava, no dia 13 de julho, em Butler, Pensilvânia. Relatórios informaram que as autoridades identificaram pelo menos três dessas contas de aplicativos de mensagens.

Wray está falando sobre o que ocorre nas investigações como se isso fosse uma evidência de que os criminosos estão sempre um passo à frente dos federais, mesmo quando o criminoso esteja morto e não esteja enfrentando processos e nem seja mais capaz de cometer esses crimes.

“É um verdadeiro desafio não apenas para o FBI, mas para as autoridades estaduais e locais em todo o país”. Mesmo com acesso ao telefone de um usuário, a criptografia de ponta a ponta usada em muitos aplicativos de tornaria mensagens e outros dados inacessíveis até mesmo para o desenvolvedor do aplicativo.

No Brasil quando o governo não consegue acessar os dados de pessoas suspeitas, ameaça bloquear o aplicativo no país. Muito “inteligente” isso rsrs.

Podemos dizer que seja comum atualmente que mais serviços estejam oferecendo criptografia ponta a pontas, e que isso, possa ser uma “ameaça” persistente à investigações criminais. Se realmente fosse, era de se esperar ouvir isso das autoridades. Em vez disso, a maior parte do que ouvimos de fato sobre o suposto mal da criptografia tenha vindo de diretores que já passaram e estão no FBI.

Até que o FBI seja honesto sobre o fato de seus diretores acharem que são onipresentes, não dê bola para essa agitação anticriptografia. Certamente deve ser ignorada quando o FBI não esteja fazendo nada mais do que reclamar sobre a falta de acesso ao conteúdo e às comunicações do telefone de uma pessoa morta.

Créditos:

https://www.techdirt.com/2024/07/31/fbi-back-to-complaining-about-encryption-making-it-difficult-to-scrape-all-data-from-a-dead-persons-phone/

Créditos da imagem usada na capa do post:

https://bgr.com/tech/iphone-encryption-hack-india/

Notícia interessante sobre criptografia

https://www.canalhacker.com.br/2023/01/11/a-criptografia-rsa-de-2-048-bits-realmente-foi-quebrada/

O post FBI alega que criptografia dificulta a extração de dados de celular apareceu primeiro em Canal Hacker.

Postei há um tempo quando este site que você está acessando tinha o nome de “O Analista (oanalista.com.br)” uma matéria sobre o SS7. Era um conteúdo mais introdutório que também falava sobre ataques sendo realizados contra a infraestrutura do SS7 para se obter acesso a contas bancárias de vítimas.

O post pode parecer um pouco longo, mas tenha certeza de que ele vai enriquecer o seu conhecimento sobre o tema.

Mas qual é a desse protocolo?

O Signaling System 7 (SS7) ou Sistema de Sinalização 7 (bem como o Diameter) é uma família de protocolos utilizada nas telecomunicações do mundo todo. Ele foi criado em 1975 (e é usado até hoje) e não se limita apenas a chamadas telefônicas, mas peça importante nas conexões relacionadas ao roaming nacional e internacional, onde um aparelho celular possa facilmente passar da rede de uma empresa para outra.

Os protocolos de sinalização utilizados para este fim também permitem que as redes recuperem informações sobre o usuário, tais como se um numero está ativo, quais serviços estão disponíveis para ele, em que rede do país está registrado e a sua localização.

Essa infraestrutura de conexões e protocolo de sinalização são alvos constantes de explorações/ataques por pessoas/empresas/países com o objetivo de expor informações de aparelhos celulares, bem como a geolocalização deles. Veja maiores informações neste report, de autoria de Gary Muller e Christopher Parsons. Detalharemos mais à frente este ataque de geolocalização.

Scanner SS7

Este scanner é um dispositivo físico que permite registrar ou obter informações de uma rede de telecomunicações. É capaz de extrair informações ao monitorar um canal portador E1/T1 ou SDH/SONET. É uma atividade feita de modo totalmente legal. Interceptação legal aqui significa a entrega de chamadas e dados para centros de receptação autorizados pelo governo antes de serem concluídos (as chamadas por exemplo). Mas é aquele negócio, quem tem a tecnologia na mão, acesso aos sistemas, poderá realizar algum tipo de ataque ao sistema.

Segurança do SS7 em xeque

No dias atuais, o SS7 não é usado em larga escala, devido as tecnologias 4G e 5G terem adotado o protocolo Diameter. MAS caro(a) amigo e amiga, como falei, o SS7 não é largamente usado, mas ainda é usado.

O FCC, órgão americano que regula as comunicações interestaduais e internacionais por rádio, televisão, fio, satélite e cabo em todos os seus 50 estados, reconhece que as redes telefônicas americanas são utilizadas por governos estrangeiros e equipamentos de vigilância para espionar e monitorar remotamente dispositivos sem fios.

Neste ponto estão os protocolos SS7 e o Diameter, que são utilizados por operadoras de redes fixas e móveis para permitir a interligação entre redes. Estes protocolos fazem parte da infraestrutura que mantém conectadas as redes de telecomunicações atualmente no mundo.

Os problemas do SS7 são conhecidos há muitos anos, pelo menos desde 2008. Já falamos sobre este procotolo em 2017. Já o site The Register noticiou bem antes, em 2010 e 2014.

Pouco foi feito para resolver estas falhas de segurança.

O SS7 foi criado em meados da década de 70, onde o foco realmente não era segurança. Com isso, permitiu que hoje em dia, qualquer pessoa que tenha acesso à rede pública de telefonia possa bisbilhotar conversas, monitorar números específicos e roubar informações.

O protocolo Diameter

O protocolo Diameter foi desenvolvido no final da décadas de 90 e inclui suporte para acesso à rede e mobilidade IP em chamadas e mensagens locais e em roaming. No entanto, ele não criptografa endereços IP de origem durante o transporte, o que torna mais fácil para pessoas mal-intencionadas realizarem ataques de IP Spoofing nas redes.

“À medida que a cobertura de serviços oferecidos aos usuários se expande, mais e mais redes são introduzidas, criando assim oportunidades para atacantes explorarem as falhas do SS7 e do Diameter“, cita o FCC em um paper (PDF).

Ataques de descoberta de localização

Em um report lançado em outubro de 2023, de autoria de Gary Muller e Christopher Parsons, é detalhado como ataques envolvendo a geolocalização de usuários normalmente são realizados.

A maior parte deles ocorrem devido a forma como as redes de telecomunicações móveis se interconectam. Serviços estrangeiros de inteligência e segurança, bem como empresas privadas, tentam frequentemente obter informações de geolocalização, bem como também as autoridades na aplicação da lei.

Os métodos disponíveis para serviços de interligências e autoridades são semelhantes para grupos ilegais que também conseguem obter informações de geolocalização de usuários

Apesar das redes 4G estarem presentes em praticamente quase no mundo todo e o rápido crescimento das redes 5G, ainda existem dispositivos móveis e seus proprietários que dependem de redes 3G mais antigas. Pra você ter uma ideia, apenas um quarto das operadoras de redes móveis em todo o mundo implementou algum firewall de sinalização para proteger contra estes ataques de geolocalização, conforme consta neste report.

É praticamente um ataque 'As A Service'

Especialistas em telecomunicações entendem que as vulnerabilidades no protocolo SS7 usado no roaming 3G, por exemplo, permitiram o desenvolvimento de produtos comerciais de vigilância que fornecem aos seus operadores o anonimato, múltiplos pontos de acesso e vetores de ataque, além de uma rede onipresente e acessível globalmente com uma lista ilimitada de ativos, e “melhor” ainda, com praticamente nenhum risco financeiro ou jurídico.

Como atacantes acessam as redes para executar ataques de rastreamento de geolocalização?

O rastreamento da geolocalização envolve normalmente três elementos interconectados:

• Software de vigilância especializado

• Um endereço de sinalização que é usado para encaminhar mensagens maliciosas para a(s) rede(s) alvo, com o objetivo de extrair dados de geolocalização do usuário, e

• Conectividade de rede com a rede global 3G SS7 e com o 4G Diameter

Backbone global do SS7/Diameter – IPX

O backbone de rede global do SS7 ou do Diameter é conhecido como IP Exchange (IPX). O objetivo do IPX (não confundir com o protocolo antigo IPX usado em redes locais) é facilitar a interconexão entre redes de operadoras móveis para o transporte de mensagens de sinalização (as operadoras possuem um acordo mútuo com definições de serviços interoperáveis e acordos comerciais). Além disso, a arquitetura do IPX possui uma regra de que apenas provedores de serviços que sejam operadoras de redes móveis podem se conectar à rede.

Portanto, terceiros que não façam parte da comunidade de operadoras de redes móveis não deveriam ser autorizados a se conectarem e a enviarem mensagem de sinalização móvel, onde podem explorar vulnerabilidades que expõem os usuários ao rastreamento não autorizado de sua geolocalização.

A conexão dos atores de vigilância (os interessados em vigiar os usuários) à rede IPX ocorre normalmente por meio de acordos comerciais secretos com uma operadora móvel, com um intermediário que forneça acesso à rede IPX, ou outros provedores de serviços terceirizados, como provedores de mensagens SMS, operadoras de redes móveis privadas ou provedores de serviços da Internet das Coisas (IoT) que possuam conexões com o IPX.

Embora o IPX tenha sido construído para permitir o roaming de rede entre redes de diferentes operadoras, também pode ser usado de forma abusiva para executar vigilância dos usuários.

Com o IPX sendo usado por mais de 750 redes móveis em 195 países ao redor do mundo, existe uma variedade de empresas com conexões ao IPX que podem estar dispostas a serem explicitamente cúmplices, ou fazerem vista grossa para os interessados em monitorar os usuários, que tiram proveito das vulnerabilidades da rede e dos pontos de interconexão um-para-muitos (one-to-many) que facilitam o rastreamento da geolocalização.

Veja esse post interessante publicado em 20 de maio de 2013, quando as operadoras estavam na fase de migração para as redes 4G.

Para uma análise realmente completa sobre o rastreamento da geolocalização, leia este report.

O FCC resolve se preocupar com a segurança das redes SS7 e Diameter

Eis que a sétima cavalaria, o FCC, em 27 de março de 2024, acabou solicitando à operadoras de telecomunicações que avaliassem e detalhassem o que estão fazendo para evitar que as vulnerabilidades nos dois protocolos sejam utilizadas indevidamente para rastrear a localização dos consumidores, por exemplo.

O FCC também solicitou que as empresas detalhassem quaisquer explorações dos protocolos desde 2018. O órgão queria saber a(s) data(s) do(s) incidente(s), o que aconteceu, quais vulnerabilidades foram exploradas e com quais técnicas, a origem e, se conhecida, a identidade do invasor.

Este pedido do FCC vem em resposta a um a pedido do senador dos EUA, Ron Wyden, que em fevereiro de 2024 pediu que a Casa Branca “abordasse as graves ameaças representadas pelas práticas negligentes de segurança das operadoras de telefonia móvel [PDF]”.

Conclusão

Aqui no site já falamos sobre o protocolo SS7 e sobre a vulnerabilidade das redes 5G. Este post não teve a intenção de explorar à fundo as possibilidades de ataques à infraestrutura das redes de telefonia móvel, mas de mostrar que ela (a infraestrutura) está vulnerável à ataques.

É necessário que as operadoras de telefonia móvel e fixa deixem claro o que estão realmente fazendo para evitar os ataques, pois isso nos afeta diretamente.

O que achou do post?

Créditos:

https://www.geeksforgeeks.org/what-is-signaling-system-7

https://therecord.media/fcc-ss7-diameter-protocols-investigation

https://www.thebureauinvestigates.com/stories/2021-12-06/swiss-tech-company-boss-accused-of-selling-mobile-network-access-for-spying

https://www.osul.com.br/o-protocolo-para-comunicacao-entre-operadoras-pode-ser-usado-por-hackers-e-criminosos-para-roubar-informacoes-interceptar-chamadas-e-mensagens-e-ate-cometer-fraudes-bancarias/#:~:text=Em%201975%2C%20o%20protocolo%20SS7,um%20novo%20protocolo%2C%20o%20Diameter.

FCC finally set to do something about SS7 vulnerabilities • The Register

SS7 protocol: How hackers might find you | Infosec (infosecinstitute.com)

Crédito da imagem usada na capa do post

https://threatpost.com/phone-hack-could-block-messages-calls-on-some-mobile-networks/102090

O post SS7: Redes de telefonia móvel estão vulneráveis? apareceu primeiro em Canal Hacker.