Casual Friday

Com a quantidade de análise de logs que eu vinha fazendo na ONU, principalmente para ajustes das regras dos firewalls, comecei a perceber uma série de comportamentos estranhos na rede. Muitos eram apenas inusitados ou inesperados, mas alguns tinham características claras de ataques. Isso me fez lembrar dos treinamentos de resposta a incidentes que eu havia feito e comecei a investigar com mais profundidade o que estava acontecendo.

Uma das primeiras medidas foi estabelecer um processo para fazer cópias dos discos de máquinas que apresentassem qualquer comportamento suspeito. Consegui autorização para comprar um equipamento externo que permitia conectar vários discos rígidos simultaneamente. Como ele funcionava externamente, facilitava bastante o processo de conectar e desconectar os discos sem precisar abrir as máquinas. Com isso, passei a gerar imagens dos discos e fazer varreduras em busca de malware. Cheguei a considerar o uso de um projeto antigo que eu havia criado na OWASP, ainda na época de Brasília, chamado FHR, mas os dados já estavam desatualizados e não ajudaram muito. Acabei abandonando essa ideia e passei a usar ferramentas mais tradicionais, como antivírus.

Além de encontrar máquinas infectadas, as análises começaram a revelar comportamentos suspeitos também em servidores. Em um deles, encontramos diversas páginas ASP com nomes estranhos, acessadas por usuários externos. Baixei o código e, após análise, concluí que alguém havia conseguido inserir essas páginas no servidor como uma forma de manter acesso persistente. Elas permitiam executar diversas ações: upload, download, execução de comandos, listagem de diretórios, entre outras.

Em outro caso, analisando logs de DNS, identifiquei uma máquina que tentava constantemente acessar um domínio que resolvia para o endereço de loopback (127.0.0.1), usado por um sistema para referenciar a si próprio. Aquilo não fazia muito sentido, então comecei a investigar. Encontramos o script responsável e conseguimos limpar a máquina. O que me intrigava era o motivo de um código malicioso tentar se conectar a um endereço local.

No dia seguinte, já em casa depois do trabalho, resolvi testar novamente o domínio em questão. Para minha surpresa, ele resolveu para um IP válido. Foi assim que entendi o mecanismo: o registro DNS era alterado pelos atacantes. Quando queriam acessar o servidor comprometido, apontavam para um endereço externo válido. No restante do tempo, o domínio ficava configurado para o loopback, tornando a comunicação aparentemente inofensiva. O mais curioso é que essas alterações aconteciam fora do horário comercial da sede da ONU, indicando um ataque bastante direcionado.

Depois de coletarmos informações suficientes, o chefe de segurança da informação decidiu que seria importante reportar o caso ao FBI. Ele me pediu para compilar os dados e eu enviei uma série de logs que poderiam ser compartilhados. Alguns dias depois, ele me chamou para uma reunião no prédio principal para discutir o assunto. Antes, me avisou que seria melhor ir de terno, para não destoar do restante dos participantes. A reunião em si não foi muito produtiva. O FBI estava mais interessado em coletar informações do que em compartilhar qualquer coisa que pudesse nos ajudar na investigação ou na mitigação do problema.

Falando em traje formal, quando cheguei em Nova Iorque perguntei qual era o dress code na ONU. Sabia que muitas pessoas usavam terno diariamente, mas me disseram que, na área de TI, o padrão era “business casual”. Pesquisei e interpretei inicialmente que isso significava usar pelo menos uma gravata, sem necessidade de terno. Com o tempo percebi que, na prática, uma camisa já era suficiente. Cheguei a ser alvo de brincadeiras em uma sexta-feira por estar formal demais, enquanto o resto do pessoal adotava o estilo “casual Friday”. Acabei me adaptando e passei a trabalhar de jeans e camiseta às sextas-feiras.

Foi em uma dessas sextas, logo após o término da Assembleia Geral da ONU (um período extremamente intenso para todos) que recebi um e-mail convidando para uma cerimônia de agradecimento conduzida pelo secretário-geral. Nunca tinha ouvido falar desse evento. Perguntei a alguns colegas e ninguém sabia ao certo do que se tratava. Resolvi aceitar o convite, imaginando que, se tivesse sido enviado por engano, alguém me avisaria.

No dia do evento, fui até o edifício sede e vi que a cerimônia seria no 36º andar, onde ficava o escritório do secretário-geral. Achei estranho, mas continuei. Era uma sexta-feira e eu estava de jeans e camiseta listrada de verde e branco. Ao chegar, um segurança me informou que eu não poderia entrar com a mochila mas foi gentil e me indicou um armário para deixá-la. Resolvido isso, segui para o local da cerimônia. Logo na entrada, estavam o secretário-geral Ban Ki-moon e sua esposa cumprimentando os convidados. Olhei em volta e todos estavam de terno e gravata. Eu claramente destoava. Já não havia o que fazer. Entrei na fila, cumprimentei os dois e segui para uma sala onde havia um coquetel.

Fiquei algum tempo tentando encontrar um lugar mais discreto, evitando chamar atenção. A única pessoa que me pareceu um pouco fora do padrão era alguém com uma roupa que lembrava um traje norte-coreano. Depois de algum tempo, resolvi ir embora. Até hoje, acho que aquele convite não era para mim. Não fazia sentido eu ser o único do meu time presente, enquanto nem meu chefe nem o diretor estavam lá.

Next: 2012 a 2015 › Capítulo 62.
Viena
Previous: 2012 a 2015 › Capítulo 60.
A rede caiu!