O Comando Cibernético dos EUA (Comando Cibernético dos EUA)
anunciou uma iniciativa incomum. Ele promete fazer upload regularmente de amostras de "malware não classificado" no banco de dados do VirusTotal.
É fácil adivinhar que estamos falando de armas cibernéticas usadas pelos serviços de inteligência estrangeiros nas operações atuais (as unidades de inteligência cibernética operam em todos os países com serviços de inteligência desenvolvidos, inclusive na Rússia). Em outras palavras, a inteligência dos EUA colocará as ferramentas do inimigo em exibição pública. Após o aparecimento do VirusTotal em bancos de dados públicos, essas ferramentas se enquadram em todos os bancos de dados antivírus e, em essência, se tornam ineficazes.
“Isso é semelhante a um exemplo de uma nova estratégia dos EUA que visa a buscar ativamente atores estatais estrangeiros. Ao publicar malware, os EUA estão forçando-os a encontrar e explorar constantemente novas vulnerabilidades ”,
comentou o famoso especialista em segurança e criptógrafo Bruce Schneier.
O Comando Cibernético dos EUA atuará o mais publicamente possível, informando amplamente o público sobre o malware dos oponentes. Uma nova conta de twitter do
USCYBERCOM Malware Alert foi aberta especificamente para mensagens sobre novas amostras de malware enviadas ao banco de dados do VirusTotal.
Até o momento, duas amostras foram enviadas para lá.
Obviamente, serviços especiais desclassificam as ferramentas do inimigo somente depois que eles não estão mais interessados em manter seu sigilo, ou seja, depois que medidas apropriadas de contra-inteligência foram tomadas e informações foram coletadas sobre atores estrangeiros, seus objetivos, métodos de trabalho etc. Depois disso, as ferramentas estrangeiras são desclassificadas e mescladas no banco de dados do VirusTotal.
As primeiras imagens de tais programas foram publicadas pela Força Nacional de Missões Cibernéticas (CNMF), subordinada ao Comando Cibernético dos EUA. É interessante notar que a abertura de uma conta no Twitter e a publicação de amostras não foram acompanhadas pelo anúncio habitual de uma nova iniciativa para instituições estatais, observa
a publicação ThreatPost, especializada em segurança da informação. Isso foi feito sem aviso prévio.
"Reconhecendo o valor da colaboração com o setor público, a CNMF iniciou esforços para compartilhar amostras de malware não classificadas, que acreditamos ter o maior impacto na melhoria da segurança cibernética global", informou a CNMF em
comunicado .
Os dois primeiros exemplos não classificados são os
arquivos rpcnetp.dll e
rpcnetp.exe . Esses conta-gotas também são usados para a porta dos fundos do grupo de hackers
Computrace APT28 / Fancy Bear , que está associado à execução de pedidos para a Federação Russa.
“O par específico de amostras, Computrace / LoJack / Lojax, é na verdade uma versão trojanizada do software LoJack legal de uma empresa que costumava se chamar Computrace (agora chamada Absolute). A versão Trojan do software legítimo LoJack se chama LoJax ou DoubleAgent ”, disse um porta-voz da agência de inteligência dos EUA.
A divulgação de tais amostras é um passo ousado para o Ministério da Defesa, que mantém suas atividades e conhecimentos cibernéticos em segredo por um longo tempo,
comentou um especialista independente, diretor de segurança cibernética da Carbon Black: “Este é um grande avanço para a comunidade de segurança cibernética. Permite que a comunidade de segurança cibernética se mobilize e responda às ameaças em tempo real, ajudando assim o governo a proteger e garantir a segurança do ciberespaço americano. ”
John Hultqvist, diretor de análise de inteligência da FireEye, observou que o malware foi detectado "no vácuo", sem mencionar operações específicas de inteligência inimiga ou operações de contra-inteligência: "Sem dúvida, essas revelações continuarão a ter uma estratégia, porque a divulgação sempre tem consequências. para operações de inteligência, mas sua simplicidade pode permitir ações mais simples e rápidas com as quais o governo tem lutado historicamente ”, disse Hultqvist. Embora, na realidade, a falta de contexto possa reduzir a eficácia das medidas de proteção, porque, para construir uma defesa confiável, é necessário entender claramente como e por que o inimigo usou essas ferramentas.