Em termos digitais, as nações do Oriente Médio estão sob ‘fogo pesado’, já que os hackers iranianos patrocinados pelo Estado Iraniano têm como alvo seus controladores de domínio há mais de um longo tempo.
No entanto, os hackers não param por aí. Ele também tem tentado explorar a recente correção da Microsoft chamada “Zerologon”, descoberta como vulnerável e já está sob ataque há pelo menos duas semanas.
Os hackers têm intensificado seu ritmo ao visar controladores de domínio; tentativas bem sucedidas lhes dão controle total sobre seus alvos e sua vasta gama de redes.
Os controladores de domínio (DC) são o próprio núcleo de uma rede empresarial, considerado vital e essencial.
De acordo com a ZD Net, a Microsoft vem observando o ataque há bastante tempo, pois se acredita que seu ‘Netlogon’ ou CVE-2020-1472 seja vulnerável e visto como o ‘elo fraco’ dentro do sistema, aberto para um ataque.
O MSTIC da Microsoft detectou o ataque e vem monitorando de perto há duas semanas.
O sistema Zerologon foi um patch recente da Microsoft, e agora pode ser detectado pelo sistema de defesa nativo, o Microsoft Defender.
Quem são os responsáveis pelo ataque
Os iranianos, identificados pela Microsoft como “MERCURY”, são “atores da nação” patrocinados pelo estado, responsáveis pelo ataque mais recente.
Eles também são conhecidos por serem os hackers por trás do “MuddyWater”.
Zerologon é um dos bugs mais perigosos da história da Microsoft, particularmente sob a Netlogon. Este bug permite que entidades maliciosas contornem um sistema e usem seu controlador de domínio. Netlogon é um protocolo de sistema Windows que autentica um servidor a usar um DC.
Vulnerabilidade do Controlador de Domínios
Quando o bug dos sistemas Netlogon foi descoberto, o governo dos Estados Unidos deu três dias para corrigir os controladores de domínio e desligar temporariamente seus sistemas. Este desligamento temporário ajudou a apertar o sistema. No entanto, não impediu que os ataques voltassem e retomassem.
Os ataques do MERCURY vieram quando a Microsoft publicou o código para o público. O esforço da empresa com sede em Redmond para parar e capturar os hackers está agora em andamento, pois ela monitora de pertoos ataques por quase duas semanas.
MuddyWater e sua outra denominação, MERCURY, geralmente têm como alvo as nações do Oriente Médio que listam como ameaças ao governo iraniano.
O grupo também tem como alvo a Índia e os Estados Unidos. O grupo MuddyWater usa a estrutura de Powershell, de evolução lenta, que é conhecida como “POWERSTATS”.
O MSTIC da Microsoft: A chave para detectar os ataques de MERCURY e Zerologon
O Threat Intelligence Center (MSTIC) da Microsoft é a primeira resposta e a primeira equipe técnica da empresa por trás de cada ataque forçando a entrada em seus sistemas. A empresa de tecnologia e desenvolvimento de software tem tentado deixar os hackers entrarem em seus sistemas, observando-os e pegando-os no momento certo.
A empresa também está usando procedimentos de detecção “baseados em laboratório” com seus métodos inicialmente testados em um ambiente controlado dentro da empresa.
O Microsoft Defender é então aproveitado para ser uma ferramenta útil para afastar os hackers e sua tentativa de entrar no sistema.
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Times, ZD Net, Microsoft, Git hub