[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’9486′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Quem são os Shadow Brokers? Entenda sobre o grupo e sua história

Os Estados Unidos sempre foram conhecidos por serem um país belicoso e pragmático em suas ações, seja ao realizar a ocupação do Iraque sem consenso da ONU, seja movendo campanha cibernética contra o plano nuclear iraniano ou executando espionagem contra nações amistosas como a nação brasileira.

Ao mesmo tempo, sempre se soube que as agências americanas aplicavam grandes esforços e recursos nas pesquisas de vulnerabilidades e exploits totalmente inéditos para a comunidade de segurança da informação, além de desenvolver e operar um vasto arsenal de ferramentas para exploração destas falhas.

Portanto, louco ou ingênuo seria aquele que acreditasse na transparência dos EUA em relação as suas capacidades cibernéticas.

Grandes poderes traduzem-se em grandes responsabilidades, e a mesma vantagem em possuir exploits inéditos – permitiriam a invasão da maior parte dos computadores do mundo, acabou se convertendo na responsabilidade em se reter informações que, em mãos erradas, colocariam em cheque a segurança da maior parte dos computadores do mundo.

No final, não nos sobraria nada mais do que a esperança na ética e no rigor por parte das agências americanas em se manter em sigilo as suas informações sensíveis.

A boa e velha verdade é que essa esperança era tola, e que, dada a suculência da informação envolvida, era somente uma questão de tempo até que alguma entidade se esforçasse o suficiente para conseguir acesso aos segredos institucionais americanos, seja por meio de hacking ou por meio de vazamentos internos.

Tanto que o sangramento foi justamente na NSA, a Agência Americana de Segurança Nacional, que teve parte das suas táticas, técnicas e procedimentos cibernéticos revelados por um grupo subversivo da Internet, conhecido por Shadow Brokers. É sobre eles que a história começa a ganhar forma.

Shadow Brokers

Em 2016, o grupo Shadow Brokers ganhou notoriedade mundial ao anunciar o leilão de ferramentas de espionagem, roubados da NSA em 2013, pela bagatela de 1 milhão de bitcoins, que na conversão da época significaria 580 milhões de dólares. Esse leilão ficou conhecido como Equation Group Cyber Weapons Auction.

As evidências apresentadas apontavam na existência de exploits para equipamentos Fortinet, Juniper e Cisco. O anúncio ainda faz afirmações e exigências tão megalomaníacas que despretensiosamente ganham tom jocoso, e mesmo apresentando evidências legítimas da posse das ferramentas, não conseguiram nenhuma oferta no leilão que fosse a altura para compra das informações.

É Importante ressaltar que, apesar das ferramentas serem de posse da NSA, o vazamento parece ter ocorrido em uma agência contratada (ou terceirizada) da NSA, o Equation Group.

O grupo é, teoricamente, responsável pela criação de malwares de extremo impacto, como o Stuxnet e o Flame.

Após a tentativa frustrada de leilão, o Shadow Brokers tentou executar a venda direta das ferramentas em preços que variavam de 780 dólares a 78 mil dólares. Além disso, publicaram screenshots e listas de servidores usados pelo Equation Group com a finalidade de ganhar credibilidade sobre a posse das ferramentas. As ações não surtiram efeito e a venda das ferramentas não foi concluída.

Em abril de 2017, o grupo parece desistir dos ganhos financeiros e partir para o hackativismo ideológico raiz, publicando uma carta aberta contendo interpretações políticas das ações e eventos do presidente Trump.

Acompanhada da carta estava a senha para o primeiro pacote de ferramentas liberado anteriormente pelo grupo, revelando exploits zero-day para Unix, Solaris OS e para o framework TOAST.

Esse cenário corrobora o maior risco em ter uma agência arbitrariamente publicando vulnerabilidades extremamente severas: a extensa comunidade de usuários afetados, seja pela inexistência de métodos de correção ou de mitigação, ou seja pela usual demora dos usuários a atualizarem seus sistemas.

Os Shadow Brokers foram uma fábrica incessante de zero-days.

Na corrida pela descoberta de vulnerabilidades, o termo zero-day com certeza é o mais temido. Resumidamente, zero-days são as vulnerabilidades que se beneficiam da cadência entre a exposição de uma falha e a correção efetiva dos sistemas afetados. Para saber mais de vulnerabilidades zero-day, consulte o nosso artigo sobre o tema clicando aqui.

Uma semana após o primeiro vazamento, no dia 14 de abril de 2017, o grupo já realizou o que parece ter sido sua publicação mais importante, que seria o pacote de vulnerabilidades para sistemas Windows, como o EternalBlue, mas esse capítulo merece ser contado mais afundo.

EternalBlue e WannaCry

O EternalBlue, dentre todas vulnerabilidades publicadas pelo grupo, foi a que causou mais impacto na indústria. A vulnerabilidade residia na implementação do protocolo SMB em sistemas Microsoft, especificamente na versão 1.0, abrindo um vetor de contaminação nos sistemas afetados e permitindo a proliferação para outras máquinas na rede.

O mais interessante é que, apesar do tom de novidade, a vulnerabilidade EternalBlue foi corrigida na famigerada Microsoft Patch Tuesday de março, antes mesmo da divulgação por parte do grupo Shadow Brokers. Ou seja, por definição, a vulnerabilidade não se enquadraria na categoria zero-day.

Mais interessante ainda é que quase um mês após a divulgação da vulnerabilidade EternalBlue, no dia 12 de maio, a empresa espanhola Telefónica foi atingida por um ataque cibernético que causou extremo alvoroço na comunidade. Apenas algumas horas depois, a contaminação já se alastrava para outras partes do mundo, comprometendo mais de 300 mil computadores em mais 150 países ao redor do mundo.

Tratava-se da WannaCry, uma combinação entre ransomware e worm. Utilizando uma combinação não tão complexa entre a vulnerabilidade referente ao EternalBlue e um backdoor mais antigo referente ao DoublePulsar. Ao ser contaminado, o sistema seria criptografado e sua liberação seria condicionada ao pagamento de um montante em bitcoins e, ao mesmo tempo, a ameaça garantiria a proliferação lateral por meio do SMB.

Para mais informações sobre o caso, produzimos alguns conteúdos específicos que aprofundam todo o episódio:

O vasto uso dos sitemas Microsoft, o despreparo dos usuários e gestores em manter seus sistemas devidamente atualizados, e das características agressivas do WannaCry, foram fatores que marcaram o incidente como um dos maiores outbreaks cibernéticos da história.

Felizmente sua ação foi pausada através da descoberta de um dispositivo de desligamento do malware presente em seu código, e a chave para liberação dos arquivos foi rapidamente descoberta pelos pesquisadores.

A divulgação da vulnerabilidade EternalBlue consolidou a credibilidade do Shadow Brokers e, valendo-se disso, não demorou para que o grupo procurasse outra maneira de monetizar suas operações.

Portanto, o método encontrado pelo grupo foi uma espécie de assinatura de vulnerabilidades, em que o assinante teria acesso inédito a informações sobre vulnerabilidades e exploits liberadas mensalmente, uma dinâmica parecida com a de assinaturas de revistas ou jornais.

O método não parece ter feito tanto sucesso, e o grupo permanece semi-adormecido desde maio de 2017. Mais informações sobre o caso, consulte nosso WannaCry Threat Report.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_fifth first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_three_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/THREAT-ANATOMY-REPORT.png’ attachment=’8902′ attachment_size=’full’ align=’center’ styling=” hover=” link=” target=’_blank’ caption=” font_size=” appearance=’on-hover’ overlay_opacity=’0.7′ overlay_color=’#1f211f’ overlay_text_color=’#ffffff’ animation=’no-animation’]
WANNACRY THREAT ANATOMY REPORT
[/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_button_big label=’BAIXE O THREAT ANATOMY REPORT’ description_pos=’below’ link=’manually,https://d335luupugsy2.cloudfront.net/cms/files/9568/1507148257WannaCry_Threat-Reportd.pdf’ link_target=” icon_select=’yes-left-icon’ icon_hover=’aviaTBicon_hover’ icon=’uf130′ font=’flaticon’ custom_font=’#e7e6e6′ color=’custom’ custom_bg=’#1f211f’ color_hover=’custom’ custom_bg_hover=’#fc9a1a’][/av_button_big]

[/av_three_fifth][av_one_fifth min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]
[/av_one_fifth]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Afinal, quem são os Shadow Brokers?

Mas afinal, quem pode estar por trás dos Shadow Brokers e como eles conseguiram essas informações?

Tratando-se da nação mais poderosa do mundo, a quantidade possível de cenários e atores que poderiam estar por trás do vazamento das informações confidenciais da NSA é extremamente numerosa, entretanto, alguns grupos são mais factíveis que outros e merecem certo destaque.

O primeiro fato a ser notado é que o grupo não possui perfil criminoso. Considerando incontáveis maneiras em que o grupo poderia extrair lucro direto através de campanhas maliciosas, é curioso que no final as ferramentas tenham sido publicadas gratuitamente.

Também é bom lembrar que as ferramentas foram obtidas em 2013 e, traz o questionamento: o que levaria um ator, em posse de um dos mais complexos armamentos cibernéticos do planeta, a simplesmente esperar adormecido por quase quatro anos até realizar alguma ação significante?

A verdade é que qualquer agente com intenções criminosas teria simplesmente utilizado o potencial das ferramentas para ações subversivas, e teria tirado um lucro enorme em cima destas operações.

Os EUA colecionam inimigos em sua história e é fato de que não faltam motivações para atores,  como Coreia do Norte e Irã, para realizarem ações específicas de obtenção e divulgação do arsenal cibernético americano, porém motivação não é o suficiente, falta capacidade. Tratando-se de capacidade cibernética, ambos atores não parecem demonstrar maturidade suficiente para realizar operações desta complexidade.

Por outro lado, atores como Israel e Alemanha parecem apresentar capacidade cibernética, mas o alinhamento destes países com os EUA acabaria anulando as motivações. Sendo assim, só restariam a China e a Rússia como potenciais atores estatais de relevância, com certa motivação e potencial que justificaria alguma ação contra os EUA.

A relação dos EUA com China e Rússia sempre se traduziu em polarização, e essa dinâmica pode ser observada nas votações do Conselho de Segurança da ONU, que ambos três fazem parte.

Entretanto, contradizendo a histórica polarização, os EUA tem executado certa equidistância pragmática com os dois países, o que significa um avanço enorme em termos de política externa para países que tradicionalmente se confrontam sempre que há algum debate.

Exemplificações dessa amistosidade não faltam, como o distanciamento da China em relação a Coreia do Norte, e a própria afinidade e aproximação do presidente Trump com a nação Russa. Além disso, caso um dos países tivessem posse dessa informação, qual seria o benefício em divulga-las como fez o Shadow Brokers?

A melhor hipótese parece ser o simples idealismo. A comunidade de segurança e tecnologia parece ser um dos maiores berços de indivíduos idealistas e, considerando casos como de Chelsea Manning e Edward Snowden, os EUA chegam a ser vanguarda neste aspecto.

Outro ponto de destaque é a carta ‘Don’t forget your base’  divulgada pelos Shadow Brokers em um dos seus vazamentos, que transparece o ideal político do grupo através uma série de opiniões sobre Trump e sobre os EUA.

Conclusão

O adormecimento dos Shadow Brokers nos últimos meses não significa que eles não irão voltar a se manifestar, e existem sérios indícios de que o grupo continua possuindo mais informações de potencial enorme de impacto na comunidade.

O fato é bem simples: não se mexe com a nação poderosa do mundo sem alguma punição. Os EUA já demonstraram sua resiliência em realizar justiça, como na prisão de Chelsea Manning ou na sua caçada por Edward Snowden, e a vontade americana de encontrar os indivíduos por trás do Shadow Brokers ainda permanece bem acesa.
[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]