Tivemos recentemente um caso muito interessante que ocorreu no alto escalão de uma grande empresa. Respeitamos a privacidade e a integridade de nossos clientes, por isso, vamos manter em sigilo informações como a empresa, cargo e até mesmo os profissionais da Real Protect que estiveram envolvidos na investigação do incidente.

Esse incidente também é bem interessante pelo fato de mostrar os desafios da segurança presentes em uma tendência que já estamos falando há algum tempo, os dispositivos móveis.

O Incidente

O usuário de alto escalão da empresa reclamou com o service-desk sobre um problema em seu smartphone. De acordo com o usuário, diversos sites estavam sendo bloqueados pelo filtro-web. Esses sites não eram bloqueados anteriormente, além disso, o problema estava impactando sua produtividade. A investigação inicial de nosso profissional demonstrou que os sites legítimos não estavam sendo bloqueados, na verdade, quando o usuário tentava se conectar nesses sites, o smartphone o redirecionava para outros links maliciosos, esses links solicitavam ao usuário que instalasse um software malicioso do atacante.

A partir dessa informação, no primeiro momento houve uma investigação da rede da empresa, para ver se havia alguma evidência de botnet e rede zumbi, se a empresa sofreu algum ataque direcionado que visava o roubo desse smartphone específico. Os dados foram analisados e tornou-se evidente que essa infecção não tinha origem na rede corporativa.

Uma informação que chamou a atenção foi que o mesmo usuário já tinha reclamado de um problema semelhante em um outro smartphone, que acabou sendo substituido. Contudo, cruzando as informações obtidas durante a investigação, além do fato de que nenhum outro usuário da rede corporativa relatou esse problema, houve o insight de que a origem poderia estar na residência do usuário. Esse é um problema conhecido das operadoras, no qual os modems são disponibilizados para os usuários com as configurações padrão, algo bem utilizado pelos atacantes.

Modem Residencial Atacado

Ao investigar o modem residencial, foi identificado que as credenciais de acesso estavam no padrão da operadora e disponível para acesso externo, ou seja, praticamente qualquer um poderia alterar o que quisesse ali. Foi identificado então que o DNS estava fora do padrão da operadora, sendo um DNS primário desconhecido e um secundário do Google. O dispositivo foi então resetado para configurações de fábrica e as credenciais de acesso alteradas. Depois disso, o usuário não teve mais problemas.

Lições que podemos tirar do incidente

É muito importante que a investigação de um incidente seja realizada de forma minuciosa. Caso não houvesse o cruzamento de informações e uma análise cuidadosa, a investigação poderia ter sido encerrada com um reset do aparelho ou a troca por um outro modelo, já que a rede corporativa de fato não estava comprometida.

O modem residencial foi mais um alerta de que o número de equipamentos com configurações padrão que são conectados à internet sem nenhum tipo de proteção está aumentando. Um dos desafios para a segurança das empresas é garantir que estes vetores de ameaça sejam identificados o mais rápido possível para evitar ataques a infraestrutura, além de proteger dispositivos corporativos que se conectam em redes públicas e particulares (BYOD).

Veja também:

É imprescindível para CSO’s falarem a linguagem do negócio e levar as questões da segurança para o board executivo da empresa.

Baixe o whitepaper e veja como falar a linguagem do negócio:

Whitepaper: Conectando a Segurança ao Negócio