Governo Federal dispara alerta contra malware Symbiote em sistema Linux

O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), em parceria com o Departamento de Polícia Federal (DPF), alerta para adoção de medidas imediatas contra o ataque em massa do Malware Symbiote. Segundo o CTIR Gov, foram encontrados indícios de uma campanha sofisticada com o objetivo de manter acesso remoto e coletar informações sensíveis em entes do setor financeiro e órgãos públicos do Brasil.

O atacante, adverte o órgão governamemtal, usa um artefato bastante sofisticado (rootkit) que se esconde em computadores com o sistema operacional Linux e se comunica através de um canal camuflado que usa o protocolo de resolução de nomes da Internet (DNS), usando o protocolo DNSCAT3.

Segundo ainda o CTIR Gov, não há informações claras de como o ataque se inicia, mas há suspeitas de que o atacante se valha de credenciais de acesso remoto válidas (VPN) e que explore uma vulnerabilidade chamada “Dirty COW” (CVE-2016-5195). Há indícios que a campanha foi efetivada entre outubro de 2021 e março de 2022.

O artefato permite ao atacante acessar servidores da rede com uma credencial própria (uma espécie de chave mestra). Permite ainda copiar informação sensível como usuários e senhas, documentos e outros dados da rede da vítima e enviar para o atacante usando o canal camuflado DNS. Há indícios ainda de que o atacante é capaz de escalar privilégios e obter acesso de administrador (root) no sistema afetado. O Linux é o sistema vulnerável a ação do malware.

O CTIR Gov solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado neste Alerta e recomenda a adoção das seguintes ações de prevenção:

– Monitorar consultas DNS sendo realizadas na rede, inclusive as consultas do tipo TXT, conforme exemplo no arquivo complementar disponível para download;

– Monitorar tráfego em portas altas nos ativos de rede;

– Buscar indícios do artefato nos servidores Linux da rede utilizando as regras YARA constantes do arquivo complementar;

– Rodar um detector de rootkit (como chkrootkit9 e rkhunter10) nas estações suspeitas. O comando “stat” do Linux pode auxiliar a encontrar evidências, mesmo com o sistema comprometido. Uma forma rápida de buscar comprometimento é rodar o comando “stat” na lista de arquivos constante do arquivo complementar;

– Habilitar, em ferramentas de segurança, a detecção ao protocolo DNSCAT;

– É importante ressaltar que por se tratar de um rootkit, tanto os arquivos quanto o tráfego relevante serão escondidos. Recomenda-se, portanto, buscar formas externas ao sistema afetado para levantar evidências, como a inicialização de um sistema limpo e a telemetria de ferramentas de segurança, tais como EDR, XDR, SIEM etc.

Também Solicita que as ETIR reportem imediatamente ao CTIR Gov qualquer indício de comprometimento relacionado à ameaça.