Attacks/Breaches

Atacantes com motivação financeira poderiam abusar do código fonte roubado para ataques mais amplos

À primeira vista, a quebra maciça no Adobe que foi revelada na semana passada não se encaixa perfeitamente no perfil de um ataque de puro crime cibernético: Não só os bandidos roubaram dados de clientes e informações de cartões de pagamento da empresa de software, como também roubaram o código fonte dos softwares ColdFusion, Acrobat e Reader da Adobe.

Ainda não está claro como os atacantes conseguiram os dados de clientes da Adobe e seu código fonte, e o que, se algo, eles fizeram para adulterar o código fonte para fins de fraude. Mas o que é claro é que os atacantes, propositada ou inadvertidamente, acessaram tanto os valiosos dados financeiros de clientes da Adobe quanto sua propriedade intelectual — conectando-se por várias vias para ganhar dinheiro.

“Esses caras eram financeiramente orientados”, diz Alex Holden, CISO da Hold Security, que, junto com Brian Krebs da KrebsOnSecurity, descobriu os 40 gigabytes do código-fonte da Adobe no mesmo servidor que os dados roubados da LexisNexis, Dun & Bradstreet, Kroll, e outros. “Se eles tiveram acesso ao código-fonte primeiro … ele ainda está para ser visto”

Adobe no final da quinta-feira revelou que tinha sofrido enormes “ataques sofisticados” em sua rede que resultaram no roubo de informações sensíveis, incluindo informações de cartão de pagamento em 2,9 milhões de clientes, bem como do código-fonte de vários produtos de software da Adobe, incluindo Adobe Acrobat, ColdFusion, ColdFusion Builder e outros softwares da Adobe. Brad Arkin, chefe de segurança da Adobe, disse que os ataques podem estar relacionados.

Hold Security’s Holden diz que os atacantes parecem ter os dados roubados em sua posse há pelo menos dois meses. Ele diz que uma de suas maiores preocupações é que um ataque de dia zero pode estar em andamento contra aplicativos Adobe que ainda não foram detectados. “Eles podem ter atacado alvos de alto nível. Esse é um pensamento extremamente perturbador e assustador”, diz Holden.

Cybercriminosos tipicamente tentam rapidamente descontar informações sobre cartões de pagamento roubados ou credenciais de usuários. Enquanto os dados do cartão de pagamento roubado do cliente Adobe eram criptografados, de acordo com a Adobe, é possível que os atacantes fossem capazes de coletar as chaves de criptografia ou quebrar o criptograma, dependendo de sua força e implementação, dizem os especialistas em segurança.

Os atacantes poderiam rentabilizar o código fonte encontrando e vendendo exploits para aplicativos Adobe, por exemplo, dizem os especialistas. Ou eles poderiam apenas manter os exploits para eles mesmos usarem em ataques futuros mais difundidos.

“Se você vai atrás da Adobe ou de qualquer empresa, você vai atrás de informações que você pode rentabilizar rapidamente, mas também se você encontrar alguns zero-dias realmente bons no Adobe Reader ou no ColdFusion, isso pode levar a ataques futuros em vários clientes”, diz Benjamin Johnson, CTO da Carbon Black. “Todo mundo tem Adobe … é uma área tão grande para atingir”

Explorar vendas são lucrativas, na faixa de dezenas de milhares de dólares para um aplicativo Adobe, por exemplo. “O código fonte é o que faz dinheiro — ajuda a encontrar as vulnerabilidades nos produtos Adobe. Por exemplo, um único exploit de dia zero para o Adobe Reader pode valer $50.000 no mercado negro”, diz Timo Hirvonen, pesquisador sênior da F-Secure.

Alavancando o código-fonte da Adobe, os atacantes teriam uma maneira mais eficiente de roubar informações. “No passado, era tão fácil fazer ataques de spree — você podia conseguir milhões de pessoas através de phishing e keyloggers”, diz Dan Hubbard, CTO do OpenDNS. “Mas agora parece mais sofisticado, e eles estão fazendo coisas que são mais planejadas, então em vez de ir atrás do cliente e do elemento humano, eles estão indo atrás de algumas das fraquezas da infra-estrutura e puxando os dados de volta e descobrindo o que fazer … É definitivamente uma mudança interessante nas operações”

Se o pior cenário se tornar realidade e os atacantes realmente envenenaram o código-fonte Adobe e depois o distribuíram aos clientes Adobe, então a empresa de software foi mais um meio para atingir um fim para os atacantes. “Se de fato o código-fonte roubado pertencer ao ColdFusion e ao Acrobat, isso poderia deixar milhares de servidores da Web abertos para comprometer e facilitar o comprometimento dos sistemas dos usuários finais. Esta violação é um lembrete arrepiante de que todas as empresas de software devem estar atentas, pois elas também podem ser um trampolim para outros alvos”, diz Chris Petersen, CTO e co-fundador do LogRhythm.

Pode demorar algum tempo até que a imagem completa do ataque da Adobe apareça — se é que isso acontece. Especialistas em segurança dizem que se de fato levou até seis semanas para a Adobe notar o ataque, a empresa de software está em desvantagem desde o início. “Isso é um avanço que os bandidos tiveram”, diz Johnson. A chave é sempre a detecção rápida para mitigar os danos, dizem os especialistas.

Bala Venkat, diretor de marketing do fornecedor de segurança de aplicativos Cenzic, concorda. “A partir das investigações em curso, parece que esta violação na Adobe começou em algum momento em agosto e continuou no final de setembro”. Esse mecanismo de detecção e resposta atrasada é especialmente alarmante. As organizações devem assegurar um processo contínuo de monitoramento de segurança em todos os seus aplicativos de produção para detectar e relatar vulnerabilidades em tempo real quando ocorrer uma violação. Se esta política for aplicada com rigor, tais violações poderiam ter sido contidas e os danos minimizados muito mais rapidamente e de forma mais eficaz. “

Outra preocupação é se os atacantes já fizeram incursões na mira dos clientes da Adobe. “Uma das minhas preocupações é o movimento lateral dentro da base de clientes”, diz Johnson da Carbon Black, onde os atacantes já têm clientes da Adobe para roubar informações.

“Vai demorar um pouco até sabermos todas as ramificações disso”, diz ele.

E a Adobe não é a última vítima dessa quadrilha de cibercrime: Especialistas em segurança dizem esperar mais revelações de outras organizações que foram atingidas.

Evite um comentário sobre esta história? Por favor, clique em “Adicione seu comentário” abaixo. Se você gostaria de contatar os editores do Dark Reading diretamente, envie-nos uma mensagem.

Kelly Jackson Higgins é a editora executiva da Dark Reading. Ela é uma premiada jornalista veterana de tecnologia e negócios com mais de duas décadas de experiência em reportagem e edição para várias publicações, incluindo Network Computing, Secure Enterprise … Ver Bio completo