Investigadores da Check Point, empresa especializada em soluções de cibersegurança, a nível global, desenvolveram uma técnica que permite identificar os programadores de ataques a vulnerabilidades de softwares, incluindo ataques zero-day, que são amplamente disseminados por criadores de malware.
Ao reconhecer a “impressão digital” de programadores específicos, os investigadores foram capazes de:
■ Detetar a presença de ataques desenvolvidos pelos programadores em famílias de malware específicas;
■ Detetar ataques adicionais desenvolvidos pelo mesmo programador, uma vez que partilham uma impressão digital única;
■ Bloquear todas as famílias malware que utilizem um ataque já estudado e cuja “impressão digital” já tenha sido identificada.
Para que novos malwares possam ser criados, é necessário encontrar vulnerabilidades em softwares para os quais não existam ou não estejam em utilização patches ou soluções – as chamadas explorações zero-day. Os programadores especializados no desenvolvimento de explorações deste tipo procuram por estas vulnerabilidades, elaboram um código que lhes permita beneficiar das mesmas, procedendo, depois, à sua venda a outros cibercriminosos que, a partir do código comprado, constroem malware.
Investigadores da Check Point descobriram um método que permite identificar e localizar programadores de explorações, com o objetivo de reduzir a quantidade de novos ataques zero-day. Os investigadores desvendaram elementos identificativos únicos que, mediante a análise de códigos e suas características específicas, podem ser associados com os programadores que os desenvolveram.
Utilizando estes métodos de análise, foi possível aos investigadores da Check Point desvendar o trabalho de um dos programadores maliciosos mais ativos e prevalentes para o Kernel do Windows, chamado “Volodya” e conhecido também por “BuggiCorp”. O Volodya vende códigos por explorar para ataques zero-day e vulnerabilidades críticas. Os investigadores da Check Point descobriram que o Volodya estava ativo pelo menos desde 2015, identificando 11 códigos de exploração diferentes, elaborados para o Kernel do Windows. Fruto destes códigos, distinguem-se nomes conhecidos do crime cibernético, como o Dreambot e o Magniber, bem como famílias malware como o Turla e o APT28, comumente associados à Rússia.
O segundo programador e vendedor malicioso identificado é conhecido por “PlayBit” ou “luxor2008”. Os investigadores da Check Point identificaram 5 explorações diferentes da autoria de PlayBit, que foram depois vendidos a grupos de cibercrime proeminentes, como o REvil e Maze. Ambos são conhecidos por desenvolver ransomware.
“Este estudo fornece insights raros sobre a forma como funciona o mercado negro do cibercrime. Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportamo-la ao fornecedor indicado e certificamo-nos que existe uma patch, para evitar que represente uma ameaça. Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam de explorá-la no maior número de versões de softwares e plataformas possível, de modo a monetizá-la e, assim, obter a satisfação dos seus clientes”, afirmou Itay Cohen, investigador de malware na Check Point.
O investigador concluiu: “Esta análise fornece insights também sobre como é que essa satisfação é alcançada, e como se comportam os compradores desse mercado, que muitas vezes incluem agentes de estados-nação. Nós acreditamos que esta metodologia de pesquisa pode ser utilizada para identificar outros programadores de explorações. Nós recomendamos outros investigadores a testar a técnica que sugerimos e adicioná-la ao seu arsenal de ferramentas”.