A empresa de segurança do Reino Unido MDSec defende seu comando Nighthawk e estrutura de teste de penetração de controle depois que foram feitas sugestões de que ela poderia ser apropriada por agentes de ameaças
Consultoria de segurança cibernética do Reino Unido e teste de penetração especialista MDS ec defendeu sua estrutura comercial Nighthawk e criticou o que descreveu como uma divulgação “irresponsável” depois que pesquisadores da
Como Cobalt Strike, Nighthawk é uma estrutura legítima de comando e controle (C2) usada para testes de penetração de equipe vermelha, e é vendido através de licenciamento comercial.
Foi desenvolvido internamente na MDSec, com sede em Cheshire, que é credenciada pela autoridade técnica CESG do governo do Reino Unido para oferecer serviços cibernéticos a órgãos governamentais e possui vários outros crachás de empresas como Crest e National Cyber Security Centro.
No entanto, a Proofpoint diz que em setembro de 2022, seus sistemas detectaram a entrega inicial da estrutura Nighthawk como um trojan de acesso remoto (RATO). Seus sistemas detectaram vários e-mails de teste sendo enviados com linhas de assunto genéricas, incluindo “Apenas verificando” e “Espero que funcione2”, contendo links que, quando clicados, levavam a um arquivo ISO contendo a carga útil do carregador Nighthawk como um executável.
Disse que esta distribuição de Nighthawk parece ter ocorrido como parte de um genuíno vermelho exercício de formação de equipe e os e-mails e links dentro deles apenas pareciam ser maliciosos.
A Proofpoint enfatizou ainda que não tomou conhecimento de nenhuma versão vazada do Nighthawk sendo adotada por qualquer agente de ameaça atribuído, mas disse que seria “incorreto e perigoso” presumir que não seria apropriado como tal.
“Os fornecedores de detecção, em particular, devem garantir a cobertura adequada desta ferramenta como versões crackeadas de estruturas de pós-exploração eficazes e flexíveis podem aparecer nos cantos escuros da Internet quando uma ameaça age ors estão procurando uma nova ferramenta ou a ferramenta atingiu uma certa prevalência”, disse a equipe.
Existem muitas razões pelas quais os agentes de ameaças se apropriam de ferramentas legítimas em seus arsenais. Eles podem tornar mais difícil para defensores ou pesquisadores atribuir grupos de atividade e geralmente contêm recursos específicos, como evasão de detecção de endpoint. No caso do Nighthawk, os pesquisadores acreditam que são os recursos avançados do produto, particularmente sua extensa lista de técnicas de evasão configuráveis, que podem torná-lo excepcionalmente atraente para agentes mal-intencionados daqui para frente.
“Ferramentas legítimas, como a estrutura de teste de penetração Nighthawk, são as favoritas de todos os tempos dos agentes de ameaças de vários níveis de habilidade e motivações,” disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint.
- “Eles podem complicar a atribuição, tornar mais fácil evitar a detecção de endpoints e, em geral, tornar os trabalhos dos pesquisadores de segurança mais difíceis do que já são. A comunidade em geral precisa de todas as vantagens possíveis para se preparar para a próxima ameaça em potencial e isso significa mergulhar fundo até mesmo nas ferramentas criadas com a melhor das intenções.”
O diretor do MDSec, Dominic Chell, disse à Computer Weekly: “Não temos conhecimento de nenhum caso de Nighthawk sendo usado para atividades ilegítimas, nem temos nenhuma evidência foram produzidos para apoiar esta teoria. Levamos muito a sério nosso papel como exportador de software de intrusão e aplicamos uma verificação rigorosa a qualquer empresa que deseje comprar o software.”
A Computer Weekly também entende que o MDSec possui uma série de medidas para controlar a distribuição e rastrear como e onde a estrutura Nighthawk está sendo usada, embora os detalhes técnicos completos deles não possam ser divulgados por motivos de segurança.
Alguns dos procedimentos de verificação não técnicos incluem um requisito de licenciamento multi-seat, para colocá-lo fora do alcance de indivíduos, contratados ou equipes vermelhas de operador único, e uma proibição total de licenças de teste auto-hospedadas, já que outros produtos similares acabaram sendo expostos por meio de tais testes.
Onde exporta, a empresa exporta de acordo com as diretrizes do governo Licença Geral de Exportação Aberta (OGEL), que rege o xportação de produtos controlados em uma lista de itens estratégicos e militares – Nighthawk se enquadra na categoria “militar e de uso duplo” – que requerem autorização.
Está licenciado para distribuir Nighthawk na União Europeia, Austrália, Canadá, Japão, Nova Zelândia, Noruega, Suíça, Liechtenstein e Estados Unidos. Em uma postagem no blog, a MDSec disse que rejeitou muito mais abordagens para comprar Nighthawk do que aprovou.
A MDSec disse que não foi abordada antes da publicação do aviso da Proofpoint, nem foi solicitada a confirmar a legitimidade da atividade detectada pelo monitoramento do fornecedor. A empresa descreveu a documentação da Proofpoint de uma série de técnicas de desvio de EDR não publicadas como “irresponsáveis”, dizendo que essas informações agora podem ser exploradas por agentes de ameaças.
