# T1592.001 - Hardware ## Descrição Adversários podem coletar informações sobre a infraestrutura de hardware do ambiente-alvo como parte de atividades de reconhecimento pré-comprometimento. O conhecimento detalhado sobre hardware pode revelar oportunidades de ataque específicas, informar o desenvolvimento ou seleção de payloads compatíveis, identificar sistemas de proteção baseados em hardware presentes no ambiente e mapear superfícies de ataque que só existem em contextos físicos ou de baixo nível (firmware, UEFI, BMC). As informações de hardware que um adversário busca coletar incluem: tipos e modelos de servidores e workstations, versões de BIOS/UEFI/firmware, presença de módulos TPM (Trusted Platform Module), leitores biométricos e smart cards indicativos de autenticação forte, hardware dedicado de criptografia (HSMs - Hardware Security Modules), controladores IPMI/BMC (Baseboard Management Controllers) expostos, arquitetura de CPU (x86, x64, ARM), hipervisores e plataformas de virtualização, e dispositivos de rede como switches, roteadores e appliances de segurança. Esse reconhecimento é especialmente valioso para adversários que planejam ataques a firmware e UEFI - como os utilizados pelos grupos [[g0020-equation-group|Equation Group]] (NSA-linked) e [[g0032-lazarus-group|Lazarus Group]] - ou que desenvolvem implantes altamente persistentes como rootkits de bootkit que precisam ser compilados para arquiteturas e versões de firmware específicas. Conhecer o hardware-alvo também é fundamental para ataques à cadeia de suprimentos ([[t1195-003-compromise-hardware-supply-chain|T1195.003]]) e para inserção de [[t1200-hardware-additions|Hardware Additions]] em dispositivos de interesse. ## Como Funciona A coleta de informações sobre hardware ocorre por múltiplos vetores, tanto passivos quanto ativos, que podem ser combinados para construir um perfil detalhado da infraestrutura do alvo: **Fontes Passivas - OSINT:** - **Ofertas de emprego:** Vagas públicadas por empresas frequentemente específicam tecnologias de hardware utilizadas. Uma vaga de "Engenheiro de Infraestrutura" pode mencionar "experiência com Dell PowerEdge e HP ProLiant", "conhecimento de BMC/IPMI" ou "gestão de HPE iLO e Dell iDRAC" - revelando o hardware específico em uso. - **Documentos técnicos públicos:** Licitações governamentais, contratos públicos e relatórios de compras em portais de transparência frequentemente detalham específicações exatas de hardware adquirido - incluindo modelo, quantidade e localização. - **Perfis profissionais:** Certificações em LinkedIn (Dell EMC, HPE ASE, Cisco CCNA) de funcionários de TI indicam o ecossistema de hardware da organização. - **Conferências e apresentações:** Slides de apresentações técnicas em eventos como BrSEC, H2HC e FISL frequentemente contêm informações de infraestrutura acidentalmente expostas em screenshots ou diagramas. - **Registros de compra e nota fiscal eletrônica:** No Brasil, dados de notas fiscais eletrônicas (NF-e) de compras de equipamentos podem ser acessados por fornecedores e terceiros com acesso ao CNPJ do adquirente via SEFAZ. **Fontes Semi-Passivas - Scanning e Banners:** - **Varredura com [[t1595-active-scanning|Active Scanning]]:** Ferramentas como Shodan, Censys e FOFA indexam banners de serviços que frequentemente expõem informações de hardware - cabeçalhos HTTP de appliances, banners SSH com versão de firmware, painéis de gerenciamento web de switches e roteadores acessíveis públicamente. - **IPMI/BMC expostos:** Controladores de gerenciamento out-of-band (Dell iDRAC, HPE iLO, Supermicro IPMI) frequentemente expostos na internet ou em redes segmentadas podem ser identificados e enumerados, revelando modelo exato de servidor, versão de firmware e frequentemente permitindo [[t1190-exploit-public-facing-application|exploração direta]] com vulnerabilidades conhecidas. - **User-Agent strings:** Aplicações web rodando em dispositivos específicos (impressoras, câmeras IP, roteadores) transmitem User-Agent ou cabeçalhos que identificam o hardware. **Fontes Ativas - Phishing e Malware:** - **[[t1598-phishing-for-information|Phishing para coleta de informações]]:** Páginas de phishing podem incluir JavaScript que coleta informações do navegador e hardware (resolução de tela, capacidades WebGL, etc.) antes mesmo de qualquer interação com credenciais. - **Watering hole:** Sites legítimos comprometidos que são frequentados pelo alvo podem incluir código de fingerprinting de hardware que identifica o perfil do visitante. - **Implantes de reconhecimento:** Em operações avançadas, um implante leve de primeira fase pode ser usado exclusivamente para coletar informações de hardware (`dmidecode`, `lshw`, `wmic`) antes de entregar um payload de segunda fase otimizado. ## Attack Flow ```mermaid graph TB A[Identificação do alvo<br/>Organização ou indivíduo específico] --> B{Vetores de coleta} B --> C[OSINT Passivo<br/>LinkedIn, licitações, documentos] B --> D[Scanning técnico<br/>Shodan, Censys, FOFA] B --> E[Phishing de reconhecimento<br/>JS fingerprinting] B --> F[Documentos internos vazados<br/>pastebin, dark web, ransomware leaks] C --> G[Inventário de hardware<br/>modelos, versões, fabricantes] D --> G E --> G F --> G G --> H{Análise das informações} H --> I[Identificação de firmware vulnerável<br/>BIOS, BMC, IPMI, UEFI] H --> J[Mapeamento de controles<br/>TPM, HSM, biometria] H --> K[Oportunidade de supply chain<br/>fornecedor de hardware identificado] I --> L[Desenvolvimento de exploit<br/>T1587 - Develop Capabilities] J --> M[Adaptação de técnicas<br/>para contornar controles identificados] K --> N[Ataque à cadeia de suprimentos<br/>T1195.003] L --> O[Ataque direcionado<br/>payload otimizado para hardware-alvo] M --> O N --> O ``` ## Exemplos de Uso **Equation Group (NSA-linked) - Implantes de Firmware HDD:** O [[g0020-equation-group|Equation Group]], o mais sofisticado grupo de ameaças persistentes avançadas jámais documentado, utilizava reconhecimento de hardware como pré-requisito fundamental para seus implantes de firmware. Antes de implantar o EquationDrug ou GrayFish em drives de HDD específicos (fabricantes Seagaté, Western Digital, Toshiba, Samsung, IBM), o grupo precisava identificar exatamente o modelo e revisão de firmware do disco - informação coletada por módulos de reconhecimento anteriores. Esse nível de especificidade demonstra como T1592.001 é crítico para operações de firmware. **Lazarus Group - Ataques a Caixas Eletrônicos:** O grupo norte-coreano [[g0032-lazarus-group|Lazarus Group]] realizou extenso reconhecimento de hardware antes de seus ataques a ATMs (caixas eletrônicos) em múltiplos países, incluindo Brasil, Chile e México. Identificar o modelo exato de ATM (NCR, Diebold Nixdorf, Wincor Nixdorf), sistema operacional embarcado (Windows XP, Windows 7) e versão de software XFS/CEN era necessário para desenvolver os malwares FASTCash e ATMDtrack com instruções específicas para cada plataforma. **Grupos de ransomware - Seleção de alvos por capacidade:** Grupos de ransomware como [[lockbit|LockBit]] e [[black-basta|Black Basta]] realizam reconhecimento de hardware para estimar a capacidade financeira de vítimas potenciais e para adaptar seus ataques. Organizações com infraestrutura de hardware de alto valor (data centers Dell/HPE em larga escala, ambientes VMware vSphere) são percebidas como alvos com maior capacidade de pagamento de resgate. Adicionalmente, identificar hipervisores permite que os grupos implantem variantes de ransomware específicas para ESXi. **APTs atacando OT/ICS no Brasil:** Em incidentes documentados no setor de energia brasileiro, adversários utilizaram reconhecimento de hardware para identificar controladores industriais (PLCs, RTUs, IEDs) de fabricantes como Siemens, ABB e Schneider Electric antes de planejar ataques a sistemas SCADA. O conhecimento de modelos específicos informava a seleção de ferramentas como [[s0604-industroyer|CrashOverride]] ou [[TRISIS]] para ataques mais cirúrgicos. **Reconhecimento via licitações públicas brasileiras:** Atores de ameaça sofisticados utilizam o sistema de licitações públicas do Brasil (ComprasNet, BEC, portais estaduais) como fonte primária de OSINT de hardware para alvos governamentais. Uma licitação para fornecimento de "100 servidores Dell PowerEdge R750 com configuração específica de RAM e armazenamento" para um órgão federal revela exatamente a arquitetura-alvo sem necessidade de qualquer técnica ativa. ## Detecção Reconhecimento de hardware na fase PRE-ATT&CK é inerentemente difícil de detectar, pois grande parte ocorre fora do perímetro da organização-alvo. A detecção é mais viável quando o adversário utiliza scanning ativo ou phishing de fingerprinting. ```yaml title: JavaScript Hardware Fingerprinting in Phishing Page status: experimental logsource: category: proxy product: network detection: selection_suspicious_js: cs-uri-query|contains: - 'canvas_fingerprint' - 'webgl_renderer' - 'hardware_concurrency' - 'device_memory' sc-status: 200 filter_known_cdn: cs-host|endswith: - '.cloudflare.com' - '.amazonaws.com' condition: selection_suspicious_js and not filter_known_cdn level: medium tags: - attack.reconnaissance - attack.t1592.001 - attack.t1598 ``` Fontes de detecção complementares: - **Logs de acesso SSH/IPMI:** Tentativas de conexão a interfaces de gerenciamento BMC (porta 623/UDP IPMI, 443 iDRAC/iLO) de endereços IP externos não autorizados - **Shodan alerts:** Configurar alertas no Shodan para notificação quando ativos da organização aparecerem indexados - indica que interfaces de gerenciamento estão expostas e sendo escaneadas - **Threat intelligence:** Monitoramento de fóruns de dark web e canais Telegram por menções ao nome da organização associadas a discussões de hardware ou infraestrutura - **Dark web leaks:** Ransomware groups que comprometeram a organização no passado podem ter públicado inventários de hardware - monitorar sites de leak ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | A principal mitigação para técnicas PRE é limitar a exposição de informações que poderiam ser coletadas. Isso inclui: revisar informações públicadas em ofertas de emprego para remover específicações técnicas desnecessárias; garantir que interfaces de gerenciamento de hardware (IPMI, iDRAC, iLO) não sejam acessíveis pela internet; treinar funcionários sobre OSINT e compartilhamento inadvertido de informações de infraestrutura em redes sociais e conferências | Controles complementares recomendados: - **Segmentação de rede:** Isolar interfaces de gerenciamento de hardware (BMC, IPMI) em VLANs separadas sem acesso externo - **Revisão de públicações de vagas:** Remover específicações técnicas precisas de hardware de anúncios de emprego públicos - **Política de divulgação em conferências:** Revisar slides e materiais de apresentação antes de públicação para remover informações de infraestrutura - **Monitoramento de licitações públicas:** Para organizações do setor público, avaliar o nível de detalhe técnico exposto em licitações e contratos públicos - **Inventário de ativos expostos:** Realizar buscas regulares no Shodan/Censys pelo range de IPs da organização para identificar exposições inadvertidas de hardware ## Contexto Brasil/LATAM No contexto brasileiro, a técnica T1592.001 possui dimensões únicas que aumentam sua relevância operacional para adversários. O sistema de transparência pública do Brasil - que exige públicação detalhada de licitações, contratos e notas fiscais eletrônicas - é involuntariamente uma das maiores fontes de OSINT de hardware para organizações do setor público. Adversários que planejam ataques a órgãos governamentais federais, estaduais e municipais podem construir inventários de hardware bastante precisos sem qualquer interação com as redes-alvo. O setor de infraestrutura crítica brasileiro - energia elétrica ([[aneel|ANEEL]]), petróleo e gás ([[petrobras|Petrobras]], refinadoras), água e saneamento - opera com equipamentos de OT/ICS que raramente recebem atualizações de firmware, criando uma jánela de exploração longa após identificação de vulnerabilidades específicas de hardware. O reconhecimento de hardware nesse contexto pode revelar controladores PLCs e RTUs com décadas de uso, para os quais patches podem não existir. A cadeia de suprimentos de hardware no Brasil é frequentemente mais longa do que em países desenvolvidos, com distribuidores e revendedores intermediários que adicionam camadas de risco. Ataques ao fornecedor de hardware antes da entrega ao cliente final ([[t1195-003-compromise-hardware-supply-chain|T1195.003]]) são viabilizados pelo mapeamento preciso de quais fornecedores aténdem determinadas organizações - informação frequentemente disponível em licitações públicas brasileiras. Grupos de crime cibernético organizados no Brasil, como os operadores dos trojans bancários Grandoreiro, Mekotio e Guildma (documentados pela [[kaspersky-latam|Kaspersky LATAM]] e pela [[eset|ESET]]), realizam fingerprinting de hardware em campanhas de phishing para identificar alvos potencialmente mais valiosos antes de ativar o componente de roubo bancário de seus implantes. A presença de hardware específico (teclados virtuais, smart card readers) pode indicar que o usuário possui acesso a sistemas de internet banking corporativo ou governo. ## Referências - **Técnica pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] - **Sub-técnicas irmãs do T1592:** - T1592.002 - Software - T1592.003 - Firmware - T1592.004 - Client Configurations - **Técnicas de reconhecimento relacionadas:** - [[t1595-active-scanning|T1595 - Active Scanning]] - [[t1583-001-domains|Domains]] - [[t1596-search-open-technical-databases|T1596 - Search Open Technical Databases]] - [[t1598-phishing-for-information|T1598 - Phishing for Information]] - **Técnicas habilitadas pelo reconhecimento de hardware:** - [[t1195-003-compromise-hardware-supply-chain|T1195.003 - Compromise Hardware Supply Chain]] - [[t1200-hardware-additions|T1200 - Hardware Additions]] - [[t1587-develop-capabilities|T1587 - Develop Capabilities]] - [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - **Threat actors relevantes para contexto de firmware:** - [[g0020-equation-group|Equation Group]] - implantes de firmware HDD - [[g0032-lazarus-group|Lazarus Group]] - ataques a ATMs com hardware-specific payloads - **Mitigação:** [[m1056-pre-compromise|M1056 - Pre-compromise]] - **Fonte oficial:** [MITRE ATT&CK - T1592.001](https://attack.mitre.org/techniques/T1592/001)