DoublePulsar
O DoublePulsar é um Trojan backdoor, desenvolvido pela Agência de Segurança Nacional dos Estados Unidos (NSA, na sigla em inglês). O DoublePulsar vazou publicamente em um vazamento de alto perfil por um grupo conhecido como The Shadow Brokers em 2017. Surpreendentemente, parece que hackers chineses tiveram acesso ao DoublePulsar antes mesmo do vazamento público. O DoublePulsar foi usado para infectar mais de 200.000 computadores em apenas algumas semanas após o lançamento. O DoublePulsar foi usado junto com o EternalBlue nos ataque de alto perfil do WannaCry Ransomware, que foram realizados em maio de 2017. O DoublePulsar explora uma vulnerabilidade no Windows que permite que os atacantes obtenham um controle de alto nível sobre o dispositivo alvo. O DoublePulsar é executado no modo kernel e afeta os computadores que executam o sistema operacional Windows. Depois que o DoublePulsar se infiltra em um dispositivo, ele permite que os criminosos carreguem outro malware no dispositivo da vítima, o que pode variar dependendo do ataque.
Índice
Por Que o DoublePulsar é Ameaçador
O DoublePulsar permite que os criminosos obtenham acesso de alto nível ao dispositivo de destino, permitindo que eles controlem o computador infectado e instalem outro malware. O DoublePulsar é um backdoor, que, como uma porta traseira aberta física, permite que os criminosos entrem em um prédio, permitindo que hackers entrem em um dispositivo sem o conhecimento do usuário. Desde o primeiro lançamento da DoublePulsar, os criminosos tiraram vantagem de seus recursos criados pela NSA e expandiram-na de várias maneiras para personalizá-la para seus próprios propósitos.
Protegendo o Seu Dispositivo contra Ameaças como o DoublePulsar
Existem várias maneiras pelas quais os usuários de computador podem proteger seus computadores contra ameaças como o DoublePulsar. Os administradores de rede e os usuários de computadores individuais devem prestar atenção às práticas de segurança de seus computadores, garantindo que os usuários evitem locais suspeitos e inseguros, abrindo downloads de arquivos desconhecidos e anexos de arquivos de e-mail. Além disso, eles devem garantir que todo o software esteja totalmente atualizado em todos os momentos. Por fim, um programa de segurança confiável e totalmente atualizado deve ser instalado e usado para verificar qualquer dado e tráfego no dispositivo e na rede monitorados.
Como o DoublePulsar Deixou a NSA
O DoublePulsar vazou pela The Shadow Brokers em um vazamento de alto perfil em 2017. Isso levou ao seu uso generalizado em todo o mundo. No entanto, pesquisadores de segurança de PCs descobriram recentemente, em 2019, que APTs chineses (Advanced Persistent Threats) ou grupos de espionagem cibernética tinham acesso ao DoublePulsar já em 2016 e usaram-no para realizar ataques ativamente. Um aspecto dessa instância particular do uso do DoublePulsar é que ele não usou outros componentes que foram geralmente emparelhados com o DoublePulsar e também o liberou no vazamento pelos The Shadow Brokers. Normalmente, os hackers usavam o DoublePulsar para executar comandos shell e criar novas contas de usuários, e não tiravam proveito dos recursos avançados do DoublePulsar que poderiam ter sido usados para realizar ataques mais devastadores. O DoublePulsar também não foi usado extensivamente, o que significa que os APTs que tiveram acesso ao DoublePulsar preferiram usar suas próprias ferramentas de hacking ou podem ter desconfiado do DoublePulsar.
Como APTs Chineses Usaram o DoublePulsar
Os APT chineses realizaram ataques DoublePulsar contra organizações localizadas na Europa e no sudeste da Ásia. O principal objetivo desses ataques foi coletar informações. Os ataques DoublePulsar foram interrompidos principalmente depois de serem divulgados em 2017 e disponibilizados publicamente, fazendo com que os fornecedores de software de segurança atualizassem seu software para detectar e remover o DoublePulsar, tornando-o menos eficaz para ataques de malware de alto perfil. Ainda não se sabe como o DoublePulsar caiu nas mãos dos APTs chineses. No entanto, é possível que o DoublePulsar tenha sido encontrado em dispositivos chineses como parte de um ataque NSA e, em seguida, simplesmente reutilizado pelos APTs chineses para suas próprias operações.
