Resumo executivo
Dissecando a Operação Troy:
ciberespionagem na Coreia do Sul
Por Ryan Sherstobitoff e Itai Liba, do McAfee® Labs,
e James Walter, do escritório do CTO da McAfee
Quando surgiram relatos sobre o ataque DarkSeoul em empresas de mídia e serviços financeiros da
Coreia do Sul no auge do ataque, em 20 de março de 2013, o enfoque principal era na funcionalidade
de eliminação do registro mestre de inicialização (MBR). Os PCs infectados pelo ataque tiveram
todos os dados de seus discos rígidos apagados. No entanto, o McAfee Labs descobriu que o ataque
DarkSeoul inclui uma ampla variedade de tecnologias e táticas além da funcionalidade de MBR.
Os dados forenses indicam que o DarkSeoul é, na realidade, apenas o mais recente ataque a surgir de um projeto de
desenvolvimento de malware denominado Operação Troy. O nome Troy vem de repetidas citações à antiga cidade
de Troia encontradas nas sequências de caminho de compilação do malware. O principal grupo suspeito desses
ataques é o New Romanic Cyber Army Team, que usa uma quantidade significativa de termos romanos em seu código.
A investigação do incidente DarkSeoul pelo McAfee Labs revelou uma operação de espionagem doméstica de longo
prazo, baseada no mesmo código que se originou em 2009, contra alvos militares na Coreia do Sul.
Desenvolvedores de software (tanto legítimos quanto criminosos) tendem a deixar impressões digitais e, ocasionalmente,
até mesmo pegadas em seu código. Os pesquisadores forenses podem usar essas pistas para identificar onde e quando
o código foi desenvolvido. É raro que um pesquisador consiga rastrear um produto até chegar aos desenvolvedores
individuais (a menos que estes tenham sido anormalmente descuidados). Porém, frequentemente esses indícios podem
ser utilizados para determinar a fonte original e o legado de desenvolvimento de um novo “produto”. Às vezes, como
no caso do New Romanic Cyber Army Team ou do Poetry Group, os desenvolvedores inserem tais pistas propositalmente
para estabelecer sua “posse” sobre uma nova ameaça. O McAfee Labs utiliza técnicas forenses e de análise de código
sofisticadas para identificar as fontes de novas ameaças porque tais análises frequentemente ajudam a determinar
a melhor forma de combater um ataque ou de prever como a ameaça pode evoluir no futuro.
A história de Troy
A história da Operação Troy começou em 2010, com o aparecimento do cavalo de Troia NSTAR. Desde o surgimento do
NSTAR, sete variantes conhecidas foram identificadas. (Veja o diagrama seguinte.) Apesar do rápido ciclo de lançamento,
a funcionalidade principal da Operação Troy não evoluiu muito. De fato, as principais diferenças entre NSTAR, Chang/Eagle
e HTTP Troy tiveram mais a ver com técnica de programação do que com funcionalidade.
Os primeiros aperfeiçoamentos funcionais autênticos apareceram no lançamento do Concealment Troy, no início de 2013.
Concealment Troy mudou a arquitetura de controle e ocultava melhor sua presença diante de técnicas de segurança padrão.
Operação Troy - período de espionagem doméstica
2009
Ataques
militares dos
EUA / Coreia
do Sul
2010
2011
DarkSeoul
2012
2013
Chang
HTTP Troy
Http Dr0pper
Concealment Troy
EagleXP
Mail Attack
Tong
MBR Wiper
20 de março
de 2013
3Rat Client
NSTAR
TDrop
Ataques DDoS
10 Days of Rain
Ataques à mídia
Ataques ao
setor financeiro
Ligação suspeita
Ligação comprovada
Ligação muito provável
Figura 1. O ataque DarkSeoul foi precedido por anos de ciberespionagem.
2
Resumo executivo — Dissecando a Operação Troy: ciberespionagem na Coreia do Sul
Impressões digitais
Por mais interessante que seja o legado da Operação Troy, ainda mais esclarecedoras são as impressões digitais e pegadas
que permitem ao McAfee Labs rastrear seu legado. Na categoria “impressões digitais” está o que os desenvolvedores
chamam de caminho de compilação. Trata-se, simplesmente, do caminho para o local onde o código-fonte encontra-se
armazenado no diretório de arquivos do computador do desenvolvedor.
Uma variante antiga do Troy de 2010, relacionada ao NSTAR e ao HTTP Troy via componentes reutilizados, usava esse
caminho de compilação.
D:\VMware\eaglexp(Backup)\eaglexp\vmshare\Work\BsDll-up\Release\BsDll.pdb
Uma segunda variante de 2010, compilada em 27 de maio, também continha um caminho de compilação muito semelhante.
Conseguimos obter algum tráfego com o servidor de controle.
D:\\Chang\\vmshare\\Work\\BsDll-up\\Release\\BsDll.pdb
O McAfee Labs também viu consistentemente o diretório Work envolvido, bem como no outro malware pós-2010
utilizado nessa campanha. Ao analisar atributos como o caminho de compilação, os pesquisadores do McAfee Labs
conseguiram estabelecer conexões entre as variantes do Troy e documentar mudanças funcionais e de desenvolvimento
programadas nas variantes.
Ambas as variantes Chang e EagleXP baseiam-se no mesmo código que criou o NSTAR e as variantes posteriores do Troy.
O uso do mesmo código também confirma que os atacantes vêm agindo há mais de três anos contra alvos sul-coreanos.
Pegadas
Na categoria “pegadas”, o McAfee Labs documentou a mudança funcional mais significativa ocorrida, no lançamento
de 2013 do Concealment Troy. Historicamente, o processo de controle da Operação Troy envolveu o roteamento de
comandos operacionais através de servidores de Internet Relay Chat (IRC) ocultos.
Do ponto de vista do atacante, há dois problemas com essa abordagem. O primeiro é que, se os proprietários dos
servidores infectados descobrissem o processo IRC espúrio, este seria removido e o atacante perderia o controle sobre
os clientes infectados pelo Troy. O segundo é que os desenvolvedores do Troy codificavam permanentemente o nome
do servidor IRC em cada variante do Troy. Isso significa que eles primeiro tinham de encontrar um servidor vulnerável,
instalar um servidor IRC e, então, recompilar o código-fonte do Troy em uma nova variante controlada por aquele servidor
específico. Por essa razão, todas as variantes do Troy precisavam ser controladas por um servidor de comando separado.
Conclusão
Esta investigação dos ciberataques de 20 de março de 2013 revelou operações secretas contínuas para coleta de inteligência.
O McAfee Labs concluiu que os ataques de 20 de março não foram um evento isolado rigorosamente voltado para a destruição
de sistemas, mas o mais recente em uma série de ataques que remontam a 2010. Essas operações permaneceram ocultas por
anos e evitaram as defesas técnicas que as organizações visadas tinham instaladas.
Uma cópia do relatório completo pode ser encontrada aqui: http://www.mcafee.com/br/resources/white-papers/wpdissecting-operation-troy.pdf.
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.mcafee.com/br
McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países.
Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrição de produtos aqui contidos são fornecidos
apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa
ou implícita. Copyright © 2013 McAfee, Inc.
60360exs_operation-troy_0613_ETMG