Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Impedindo ataques cibernéticos em um grande aeroporto internacional
Buscando malware dentro de uma rede isolada usando o IBM Security QRadar EDR
Um dos maiores aeroportos do mundo opera uma rede fisicamente isolada (air-gapped) para gerenciar operações internas que vão da segurança à logística. Apesar do isolamento da rede, foram identificados vários dispositivos infectados com malware capazes de capturar e armazenar informações localmente.
Os desafios da segurança
- Infraestrutura crítica que não permite tempo de inatividade
- Falta de medidas de segurança na rede
- Rede fisicamente isolada (air-gapped) que conecta dispositivos de baixa e alta segurança
- Nenhuma visibilidade para qualquer dispositivo dentro do isolamento físico (air gap)
Este grande aeroporto internacional, um dos maiores centros de transporte do mundo, conecta 70 milhões de passageiros a cada ano com mais de 1.000 voos por dia. De modo geral, o aeroporto segue protocolos de segurança muito bons. A rede completamente isolada foi adotada para operacionalizar vários serviços essenciais e prevenir contaminações pela Internet. Entretanto, essa rede criou uma falsa sensação de segurança. Apesar de todos os dispositivos dentro do espaço físico não terem acesso à Internet, todos os segmentos da rede estavam conectados entre si sem controle de tráfego.
Além disso, a rede fisicamente isolada incluía dispositivos com acesso físico pelo público, como quiosques de informações, deixando os serviços essenciais expostos a um possível ataque. Além disso, a única forma de levar informações de fora para dentro era por meio de pen drives, deixando os endpoints vulneráveis a malware, de forma não intencional, pelos funcionários do aeroporto.
1.000 voos
O aeroporto facilita mais de 1.000 voos por dia
70 milhões
Anualmente, atende a 70 milhões de passageiros
A visibilidade proporcionada pelo QRadar EDR permitiu a reconstrução do incidente desde o início e a correção segura do problema, sem interromper a continuidade dos negócios do aeroporto.
Visão geral da solução:
- O aeroporto implementou o software IBM Security® QRadar® EDR, que usa a tecnologia NanoOS para uma visibilidade excepcional dos endpoints e da infraestrutura.
- Os mecanismos comportamentais da QRadar EDR operam sem degradação em redes isoladas.
- Usando poderosos recursos de busca de ameaças, o aeroporto pode reconstruir e analisar incidentes.
O aeroporto utilizou o software IBM Security QRadar EDR para executar uma verificação de higiene na rede fisicamente isolada (air-gapped) porque alguns terminais pareciam ter ficado mais lentos. Assim que o QRadar EDR foi implementado em um segmento inicial, os mecanismos captaram atividades potencialmente mal-intencionadas de uma pequena quantidade de dispositivos. A análise inicial indicou um quiosque acessível ao público como o ponto de entrada, mas uma análise posterior revelou um segundo ponto de entrada, desta vez em um dispositivo na área de check-in. Esses dois vetores mal-intencionados conseguiram se espalhar para um número limitado de dispositivos em contato com diferentes segmentos da rede.
A visibilidade proporcionada pela plataforma QRadar EDR permitiu a reconstrução do incidente desde o início e a correção segura do problema, sem interromper a continuidade dos negócios do aeroporto.
Análise de causa-raiz
A implementação inicial sinalizou diversas anomalias no funcionamento. Uma aplicação instalou um keylogger in-memory injetando-o em uma instância oculta do navegador padrão. Depois disso, outro encadeamento gerenciou o disco procurando arquivos do Microsoft Word, arquivos PDF, cookies e bancos de dados do navegador. Essas informações foram compiladas em uma pasta oculta e foram feitas tentativas de enviá-las a um servidor de comando e controle (C2) em intervalos regulares. No entanto, essas tentativas não foram bem-sucedidas porque a rede estava completamente isolada do mundo.
Um olhar mais aprofundado sobre o vetor de infecção trouxe resultados interessantes: o vetor era grande demais e continha uma série de mecanismos para enganar um um antivírus local, mas também as análises de ambiente de simulação. Provavelmente, o grande tamanho foi resultado de uma tentativa de escapar de um mecanismo de emulação de antivírus, já que esses sistemas costumam emular uma pequena parte de todo o binário.
Foram identificados dois vetores diferentes: um instalado em um quiosque público e outro em um dispositivo que fazia parte do sensor da rede de gerenciamento de check-in. Apesar de os dois vetores parecerem diferentes, principalmente por causa das inúmeras instruções usadas para evitar a detecção, o malware parecia ser o mesmo. Em ambos os casos, os vetores tentavam entrar em contato com o mesmo servidor C2 e funcionavam da mesma maneira.
Reconstrução do ataque
Quando o QRadar EDR é implementado apenas após a violação, nem todas as informações ficam disponíveis e a infraestrutura nativa usa apenas um mínimo de registro no nível do sistema operacional. Apesar da quantidade mínima de informações, uma análise de acompanhamento mostrou que a infecção ocorreu cinco meses antes e os dois pontos terminais foram infectados com poucos dias de diferença por dois pen drives. Outros terminais foram infectados por um desses vetores, principalmente devido a senhas fracas que o malware tentou combinar em intervalos aleatórios em todos os dispositivos aos quais se conectou. O malware conseguiu coletar informações de forma constante e não pareceu adotar nenhum controle de retenção ou aplicar limites ao próprio armazenamento. Foram feitas tentativas de conexão com o C2 a cada oito horas, mas nenhuma delas foi bem-sucedida devido ao isolamento físico (air gap).
A análise final mostrou que, embora o malware tivesse capacidade de se autorreplicar e pudesse copiar o armazenamento automaticamente para um pen drive externo, esse recurso não estava habilitado. Aparentemente, a exfiltração deveria ter sido ativada de forma manual.
Resposta e remediação
O aeroporto usou o módulo de remediação no QRadar EDR para limpar os dispositivos infectados e limpar as pastas de armazenamento identificadas para evitar qualquer vazamento de dados. A interface de busca de ameaças da solução provou ser essencial para confirmar a ausência do mesmo vetor em toda a infraestrutura, exceto no dispositivo infectado já identificado. O aeroporto também realizou uma pesquisa comportamental para garantir que nenhuma instância do malware fosse executada sem ser detectada em outros dispositivos. Ele buscou todos os comportamentos identificados, ameaças persistentes e métodos de coleta de dados até que pudesse confirmar a ausência desse vetor e de suas variantes na infraestrutura.
Por fim, a equipe de segurança local criou um conjunto mais rígido de regras para controlar o tráfego interno. A parte pública da rede foi isolada das operações, e a equipe de segurança local começou a fazer o monitoramento contínuo dos terminais e promover campanhas regulares de busca de ameaças.
O aeroporto usou o módulo de correção no QRadar EDR para limpar os dispositivos infectados e evitar vazamento de dados. A interface de busca de ameaças da solução ajudou a confirmar a ausência do vetor em toda a infraestrutura.
Conclusões: eliminando grandes riscos para o serviço aeroportuário
O isolamento físico pode proporcionar um forte nível de segurança. No entanto, se ele não for implementado de forma rigorosa, pode criar uma falsa sensação de segurança. Embora as motivações do ataque permaneçam incertas (já que os dados foram coletados, mas não exfiltrados), podemos presumir com segurança que os invasores tinham uma porta aberta para a infraestrutura, não apenas para exfiltrar informações, mas também para afetar as operações do aeroporto. Um simples resgate contra a área de check-in teria criado atrasos inevitáveis. O mesmo ataque na área de segurança teria impedido voos e causado problemas graves.
Legal
© Copyright IBM Corporation 2023. IBM corporation, IBM security, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, junho de 2023
IBM, o logotipo da IBM, ibm.com e IBM QRadar são marcas comerciais da International Business Machines Corp., registradas em várias jurisdições no mundo inteiro. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Uma lista atual de marcas comerciais da IBM está disponível na Web em “Informações sobre direitos autorais e marcas registradas” em ibm.com/trademark.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Os dados de desempenho e exemplos de clientes citados são apresentados apenas para fins ilustrativos. Os resultados práticos de desempenho podem diferir com base nas configurações específicas e nas condições de operação. AS INFORMAÇÕES NESTE DOCUMENTO SÃO APRESENTADAS "COMO ESTÃO", SEM QUALQUER GARANTIA EXPRESSA OU IMPLÍCITA, INCLUSIVE SEM QUALQUER GARANTIA DE COMERCIABILIDADE, ADEQUAÇÃO A UM DETERMINADO FIM NEM QUALQUER GARANTIA DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.