A Sophos publicou um relatório da SophosLabs sobre o Cloud Snooper, um sofisticado ataque que utiliza uma combinação única de técnicas para permitir que o malware nos servidores comunique livremente com os servidores de comando e controlo através de firewalls.
O relatório desconstrói as tácticas, técnicas e procedimentos (TTPs) utilizados no ataque. A SophosLabs acredita que o ataque foi obra de um Estado-nação motivado pela espionagem.
Como é detalhado no relatório, os TTPs utilizados incluem: um rootkit para evitar as políticas da firewall, uma técnica para obter acesso aos servidores disfarçando-se de tráfego normal; e um payload de backdoor que partilha código malicioso entre os sistemas operativos, tanto Windows como Linux, uma abordagem que é conhecida, mas invulgar.
“Esta é a primeira vez que observamos uma fórmula de ataque que combina uma técnica para contornar a firewall com um payload multiplataforma, direccionado tanto para Windows como Linux. As equipas de segurança de TI e os gestores de rede necessitam de ser diligentes na reparação de todos os serviços direccionados para o exterior, para impedir os atacantes de evadir as políticas de segurança da firewall e da cloud”, referiu Sergei Shevchenko, Threat Research Manager da SophosLabs.
As equipas de TI devem criar um inventário completo de todos os dispositivos conectados à rede e actualizar todo o software de segurança utilizado nesses dispositivos, e assegurar que todos os serviços externos estão totalmente corrigidos.
