Artigo publicado oficialmente na Wired com data de ontem. Traduzido pela equipe Pagamento.me

O modelo tradicional de roubar um banco via internet (hackear) não é tão diferente do método tradicional. Ladrões entram, subtraem e vão embora. Mas um grupo de hackers atacou um banco brasileiro e parecem ter tomado uma forma mais abrangente e tortuosa de hacking: num fim da tarde, eles redirecionaram todos os clientes on-line do banco, falsificando perfeitamente as propriedades dele.

Pesquisadores da empresa de segurança Kaspersky, descreveram na terça-feira, um caso sem precedentes de fraude num banco, que fora sequestrado através de sua operação on-line. Às 13:00 em 22 de outubro do ano passado, dizem os pesquisadores, hackers alterara os registros DNS (Domain Name System) de todas os 36 de propriedades online do banco, comandando domínios e apps mobiles do banco para levar os usuários a sites de phishing. Na prática, isso significa que os hackers puderam roubar credenciais de login em sites hospedados em endereços da web legítimas do banco. Os pesquisadores da Kaspersky acreditam que os hackers podem ter conseguido (simultaneamente) redirecionar todas as transações em caixas eletrônicos ou sistemas de POS para seus próprios servidores, coletando os detalhes do cartão de crédito de qualquer um que usou seu cartão naquele simples sábado à tarde.

“Absolutamente, todas as operações online do banco estavam sob controle dos atacantes durante cinco a seis horas”, diz Dmitry Bestuzhev, um dos pesquisadores da Kaspersky que analisaram o ataque em tempo real, depois de ver o malware infectar os clientes (do que parecia ser o banco de totalmente domínio válido). Do ponto de vista dos hackers, como Bestuzhev colocou, o ataque DNS significa que “você se torna o banco. Tudo pertence a você agora.”

DNS stress

A Kaspersky não citou o nome do banco que foi alvo do ataque de redirecionamento de DNS. Mas a empresa diz que é uma grande empresa financeira brasileira com centenas de filiais, operações nos EUA e as Ilhas Cayman, 5 milhões de clientes, e mais de US$ 27 bilhões em ativos. E embora Kaspersky diz que não sabe a extensão dos danos causados ​​pela fraude, deve servir como um alerta para que os bancos de todos os lugares considerem que a incerteza da segurança do seu DNS, pode permitir a perda (e o pesadelo) do controle de seus ativos digitais fundamentais. “Esta é uma ameaça bem conhecida na internet”, diz Bestuzhev. “Mas nós nunca vimos algo sendo explorado nessa natureza e em grande escala.”

O Domain Name System, ou DNS, serve como um protocolo fundamental, que funciona sob a cobertura da internet: Ele traduz nomes de domínio em caracteres alfanuméricos (como Google.com) para endereços IP (como 74.125.236.195) que representam os locais reais da computadores, hospedagem de sites ou outros serviços nessas máquinas. Mas atacar esses registros podem derrubar sites ou pior, redirecioná-los para um destino de escolha do hacker.

Em 2013, por exemplo, o grupo de hackers do Exército Eletrônico Sírio alterou o registro de DNS do The New York Times redirecionando os visitantes para uma página com seu logotipo. Mais recentemente, o ataque botnet Mirai sobre o provedor de DNS Dyn colocou uma grande fatia da web no modo off-line, incluindo Amazon, Twitter, e Reddit.

Mas os hackers que atacaram a rede bancária brasileira, explorando o DNS do banco, criaram sua vítima de forma mais focada e com fins lucrativos. A Kaspersky acredita que os atacantes comprometeram o banco através do Registro.br (o serviço de registro de domínio do NIC.br), o registrador de sites que terminam com o domínio que termina com o “.br”, que também gerenciava o DNS do banco. Com esse acesso, os pesquisadores acredita que os hackers foram capazes de alterar o registro simultâneo de todos os domínios do banco, redirecionando-as para os servidores que eles tinham montado no Google Cloud.

Com essa seqüestro de domínio, quem visitou a URL do site do banco, foram redirecionados para sites semelhantes (clones). E esses sites ainda tiveram certificados HTTPS válidos emitidos em nome do banco, para que os navegadores dos visitantes mostrassem o “cadeado verde” e o nome do banco, como fariam os sites reais. A Kaspersky descobriu que os certificados haviam sido emitidos seis meses antes no Let’s Encrypt, autoridade de certificação sem fins lucrativos onde é feita a obtenção de um certificado HTTPS mais simples, na esperança de aumentar a adoção HTTPS.

“Se uma entidade ganhou o controle do DNS, e assim, ganhou o controle efetivo sobre um domínio, pode ser possível para essa entidade para obter um certificado nosso”, diz o fundador da Let’s Encrypt, Josh Aas. “Tal emissão não constitui falsa emissão da nossa parte, porque a entidade que recebe o certificado foi capaz de demonstrar adequadamente o controle sobre o domínio.”

Em última análise, o sequestro foi tão completo, que o banco não foi capaz de enviar um e-mail informando os clientes.

“Eles não podiam se comunicar com os clientes para lhes enviar um alerta”, diz Bestuzhev. “Se o seu DNS está sob o controle dos cibercriminosos, basicamente você está ferrado.”

Além de mero phishing, sites falsos também infectaram vítimas com um download de malware que se disfarça de atualização para o plug-in de segurança do navegador Trusteer, que o banco brasileiro oferecia aos clientes. Segundo a análise da Kaspersky, as colheitas de malware não apenas apostaram nos logins dos bancos brasileiros, mas também em oito outros métodos, como e-mails, credenciais de FTP, listas de contatos do Outlook e Exchange, todos esses nos quais foram para uma central de controle hospedada no Canadá. O vírus também incluia uma função destinada a desativar o software antivírus dos clientes. Para as vítimas infectadas, o problema pode ter durado muito além da janela de cinco horas quando o ataque ocorreu. E o malware incluía pedaços de língua portuguesa, dando a entender que os atacantes podem ter sido brasileiros também.

Takeover total

Somente após cinco horas (aproximadamente), os pesquisadores da Kaspersky acreditam, que o banco recuperou o controle de seus domínios, provavelmente chamando o NIC.br e convencendo-o a corrigir os registros de DNS. Mas como que muitos dos milhões do banco de clientes foram apanhados no ataque DNS, isso sim, permanece um mistério. Kaspersky diz que o banco não compartilhou essa informação com a empresa de segurança, nem divulgou publicamente o ataque. Mas a empresa diz que é possível que os atacantes poderiam ter colhido centenas de milhares ou milhões de detalhes da conta dos clientes, não só no esquema de phishing e malware, mas também de redirecionando ATMs e operações de POS para a infra-estrutura que eles controlavam.

“Nós realmente não sabemos o que foi o maior dano: malware, phishing, POS ou ATMs”, diz Bestuzhev.

E como a instituição NIC.br perdeu o controle de domínios do banco tão catastroficamente, em primeiro lugar?

A Kaspersky aponta para uma postagem no blog janeiro de NIC.br que admitia uma vulnerabilidade em seu site e que teria mudanças em algumas instâncias permitidas nas configurações dos clientes. A NIC.br observou em seu post, que ele não tinha provas de que o ataque tinha sido usado. O post também refere-se vagamente a “recentes episódios de grande repercussão envolvendo alterações do servidor DNS”, e referem-se a eles como a “ataques de engenharia social.”

Foto: Reprodução Registro.br

Em um telefonema, o diretor de tecnologia do NIC.br, Frederico Neves, contestou a alegação da Kaspersky que todos 36 de domínios do banco tinha sido sequestrado. “Posso garantir que os números que Kaspersky divulgou é especulação”, disse Neves. Ele negou que NIC.br tinha sido “hackeada”. Mas ele admitiu, que as contas podem ter sido alterados devido ao phishing ou via e-mail comprometido dos clientes, acrescentando que ‘qualquer registrador do nosso tamanho tem o compromisso de controlar de usuários regularmente.’ 1

Bestuzhev da Kaspersky, argumenta que, para os bancos, o incidente deve servir como um aviso claro para verificar a segurança do seu DNS. Ele observa que metade dos 20 maiores bancos classificados pelo total de ativos, não gerenciam seu próprio DNS, em vez disso, deixam nas mãos de um terceiro, potencialmente vulnerável a hackers. E, independentemente de quem controla o DNS de um banco, eles podem tomar precauções especiais para evitar que os seus registos DNS sejam alteradas sem verificações de segurança, como um “bloqueio de registro”, onde alguns registradores fornecem a autenticação de dois fatores, que torna muito mais difícil para hackers alterá-los .

Sem essas precauções simples, a fraude brasileira mostra quão rapidamente um interruptor de domínio pode minar praticamente todas as outras medidas de segurança que uma empresa pode implementar. Sua rede criptografada e seu site protegido não ajudam, quando seus clientes são silenciosamente encaminhados para uma versão bizarra do seu próprio domínio, onde são engolidos pela deep web.

1 Atualizado 2017/04/04 03:00 EST para incluir uma resposta do NIC.br.

2 Corrigido 2017/04/04 20:00 EST, para esclarecer que o Kaspersky acredita que a conta do banco em NIC.br foi comprometida, mas não necessariamente em si, a do NIC.br.