Segundo notícias recentes do Expresso e do Correio da Manhã e citando “fontes judiciais” o ataque à Vodafone teve sucesso porque um hacker russo teve “acesso às credenciais Citrix” de um “quadro superior” da empresa que, posteriormente, colocou em leilão num fórum online por valores que fossem superiores a 2100 euros.

Isto significa que o hacker terá conseguido duas coisas que foram possíveis porque o ecosistema de cibersegurança da Vodafone o permitiu:
1. O par username + password de uma conta privilegiada
2. Ou esta conta não tinha autenticação por múltiplo factor (MFA) (sendo que a notícia diz que tinha) ou o SIM do telemóvel onde esta existia foi clonado
3. A conta privilegiada (Domain Admin?) não estava a usar uma aplicação de autenticação ou o recurso alternativo ao MFA por email ou SMS estava disponível como alternativa em caso de falha da primeira (uma configuração exigida por alguns fabricantes) ou (quase certo) não usava uma solução de hardware como a Yubikey (49€ cada).

No ano passado o CEO de uma grande empresa norte-americana viu a sua conta no twitter invadida através de um ataque ao seu cartão SIM (engenharia social ou clonagem). O ataque ao Twitter da TAP de 1 de fevereiro pode ter seguido a mesma via e este tipo de ataques já está identificado como um grande risco de segurança pelo menos desde 2015. A confirmar-se: isto comprova aquilo que os analistas de segurança já sabiam: os SMS nos telemóveis não são seguros e que incluí-los como parte de uma estratégia de defesa contra ciberataques é incluir uma componente frágil que se pode revelar como um possível vector de ataque.

1. Lendo os SMS
Existem vários Cavalos de Tróia ou “trojans” que se instalam através de aplicações móveis que os utilizadores instalam sem saber ou esperando instalar outra coisa, tais como o TrickBot, (ou “TrickLoader”) que conseguem ler SMSs e enviá-los um computador de comando e controlo (C&C). Mas este trojan é muito mais versátil… É muito modular sendo capaz de ler identificações bancárias, credenciais de contas e procurar até bitcoins. A aplicação é muito modular estando em evolução permanente adaptando-se ao tipo de rede em que o equipamento comprometido está instalado. O software consegue mover-se lateralmente nas redes afectadas e propagar-se através de shares de rede com SMB e instalar outros malwares populares como o Ryuk assim como procurar por ficheiros de video ou documentos nas máquinas infectadas ou ler sessões web através da intercepção do tráfego antes dele chegar ao browser.

O trojan já existia para Windows desde 2016 mas evoluiu e actualmente é usado como plataforma para outro tipo de ataques tendo surgido em 2019 uma versão Android que visa – entre outros objectivos – vencer as autenticações por MFA recebidas por SMS através da recolha de todas as mensagens de SMS e do seu encaminhamento para o servidor de controlo. Esta funcionalidade não é nova e já tinha sido usada em 2011 pelo trojan Zeus. Mas o TrickBot não se limita a ler e enviar mensagens de SMS: É também capaz de ler informações sobre o telemóvel, mudar o URL do servidor de controlo, bloquear o écran, roubar fotografias, saber quais são as aplicações instaladas no telemóvel, descobrir o número do telemóvel e até o nível da bateria ou dar comandos para se desinstalar sozinho caso o seu controlador suspeite que foi descoberto.

As capacidades destes trojan indicam que, ao contrário do que surge na notícia do Expresso, não é necessário “clonar o cartão SIM” para vencer a autenticação MFA e ter assim “destruído” (palavras do CEO da Vodafone) um alargado conjunto de servidores virtuais Citrix da empresa de comunicações. Basta que alguém com credenciais de administração desse sistema tenha instalado, sem saber, o TrickBot.

2. Outras vias de entrada via SMS: Swapping e Cloning
Se não foi usado o TrickBot a forma de comprometer a Vodafone pode ter sido uma de duas em que ambas visam duplicar o número único de identificação do SIM. Uma vez duplicado é possível inserir esse SIM num novo equipamento e passar a usar esse número para receber e enviar mensagens SMS. Isto significa que, com a obrigação de dupla autenticação por parte da banca, este vector de ataque se tornou essencial para invadir contas bancárias e que a veremos cada vez nos próximos meses podendo esta nova táctica estar por detrás da multiplicação recente deste tipo de incidentes.
Uma destas duas formas é o chamado “SIM Swapping” em que – usando engenharia social – alguém telefona para um call center de uma operadora e a convence a enviar para uma morada um novo cartão SIM. Dependendo das operadoras e dos dados que elas exigem isso pode ser mais ou menos simples e fácil. Em 2019 foi descoberta uma rede que incluía 9 funcionários de várias empresas de comunicações dos EUA com acesso aos sistemas e que emitiam novos cartões de SIM de vítimas previamente identificadas pelo resto da rede. O recurso a “insiders” parece ser uma tendência recente e crescente neste tipo de intrusões.
A outra forma é aquela que teria sido – segundo o Expresso – usada no ataque à Vodafone e é conhecida como “SIM Cloning” e dispensa a participação ou cumplicidade de alguém na operadora, uma vez que utiliza softwarede cópia de “smart cards” para duplicar o cartão físico. Isto, contudo, é a limitação deste sistema: exige acesso físico ao cartão – pelo menos durante alguns minutos – e não é crível que isso tenha acontecido no caso da Vodafone. Contudo, já é hoje em dia possível hacker cartões SIM remotamente através do envio de SMS para o telefone do alvo com conteúdo malicioso que usando a tecnologia OTA (Over-The-Air) originalmente desenvolvida para permitir que as operadoras pudessem comunicar com os telemóveis dos seus clientes para carregar aplicações e gerir o cartão SIM. O uso desta técnica explicaria a forma como o ataque à Vodafone conseguiu acesso a um telemóvel de uma conta privilegiada na rede da operadora.
Com o cartão SIM duplicado o hacker insere-o num novo telemóvel e passar a aceder aos SMS de MFA. O telemóvel do alvo é desligado remotamente por comando e o novo telemóvel passa a assumir totalmente o número associado ao SIM. Uma das ferramentas que existe no mercado e que é capaz desta funcionalidade é o SIMJacker (mas existem outras).

Como se defender?
1. Se o seu SIM (dentro do telemóvel) foi furtado ou perdido mude imediatamente o número de telemóvel associado aos SMS de autenticação assim como todas as suas palavras chave.
2. Obrigue todos os telemóveis a terem um PIN adicional ao PIN do SIM. E aplique essa regra também a todos os equipamentos pessoais usados por colaboradores da empresa. Use regras MDM para forçar essas regras
3. Eduque os seus utilizadores sobre os riscos de segurança e faça testes regulares ao seu nível de conhecimento.
4. Instale antivirus em todos os telemóveis corporativos.
5. Deixe de usar SMS para autenticações MFA e passe a usar apenas aplicações de autenticação como o Google Authenticator ou o Microsoft Authenticator ou – ainda melhor – hardware especializado como a Yubikey (49 euros por unidade).
6. Avalie a possibilidade de impedir sincronizações entre equipamentos móveis e computadores da organização que facilitem a exfiltração de dados.
7. Monitorize o tráfego que circula na sua rede e esteja atento aos logs dos sistemas críticos.
8. Use chamadas VoIP em vez de telemóveis para contactar os seus clientes. Isto irá limitar a quantidade de pessoas que conhece o seu número de telemóvel e consequente diminuir a sua exposição.
9. Se tem mais do que um telemóvel de mais de uma operadora escolha para as autenticações por MFA o equipamento que menos utiliza.