Na sexta-feira, 03/04/2024, a República Tcheca e a Alemanha divulgaram terem sido alvos de uma campanha de espionagem cibernética perpetrada por um grupo hacker associado ao governo russo, identificado como APT28. Essa ação foi condenada pela União Europeia (UE), pela Organização do Tratado do Atlântico Norte (OTAN), Reino Unido e Estados Unidos.
O Ministério das Relações Exteriores da República Tcheca (MFA) divulgou um comunicado informando que algumas agências governamentais, cujos nomes não foram revelados, foram alvo de ataques por meio de uma falha de segurança no Microsoft Outlook, descoberta no início do ano passado.
“Os ataques cibernéticos contra entidades políticas, instituições estatais e infra-estruturas críticas não são apenas uma ameaça à segurança nacional, mas também perturbam os processos democráticos nos quais se baseia a nossa sociedade livre”, afirmou o MFA .
A falha de segurança em questão é a CVE-2023-23397, uma vulnerabilidade crítica de escalonamento de privilégios agora corrigido no Outlook que pode permitir que um invasor acesse hashes Net-NTLMv2 e depois os use para se autenticar por meio de um ataque de retransmissão.
O governo alemão atribuiu um ataque cibernético direcionado ao Comitê Executivo do Partido Social Democrata, indicando que foi explorada a mesma vulnerabilidade do Outlook por um "período relativamente prolongado", o que possibilitou a "comprometimento de inúmeras contas de e-mail".
A campanha direcionada atingiu setores verticais da indústria como logística, armamentos, indústria aérea e espacial, serviços de TI, além de fundações e associações na Alemanha, Ucrânia e Europa. O Bundesregierung também implicou o grupo no ataque ao parlamento federal alemão (Bundestag) em 2015.
O APT28, ligado à Unidade Militar 26165 da agência de inteligência militar da Federação Russa GRU, é reconhecido na comunidade de segurança cibernética por diversos nomes, como BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy e TA422.
No final do mês passado, a Microsoft atribuiu ao grupo de hackers a exploração de uma vulnerabilidade do componente Microsoft Windows Print Spooler (CVE-2022-38028, pontuação CVSS: 7,8) como um ataque zero-day para distribuir um malware personalizado, previamente desconhecido, chamado GooseEgg. Este ataque visou infiltrar-se na Ucrânia, bem como em organizações governamentais e não governamentais do setor de educação e transporte no Ocidente europeu e norte-americano.
A OTAN declarou que as ações híbridas da Rússia "representam uma ameaça à segurança dos Aliados". O Conselho da União Europeia também se pronunciou, afirmando que "a campanha cibernética maliciosa reflete o padrão persistente de comportamento irresponsável por parte da Rússia no ciberespaço".
"O governo do Reino Unido afirmou que a atividade recente do grupo cibernético russo GRU APT28, que inclui o ataque ao Comitê Executivo do Partido Social Democrata Alemão, representa o mais recente exemplo de um padrão conhecido de comportamento dos Serviços de Inteligência Russos para minar os processos democráticos em todo o mundo."
O Departamento de Estado dos EUA descreveu o APT28 como conhecido por se envolver em “comportamento malicioso, nefasto, desestabilizador e perturbador” e que está comprometido com a “segurança de nossos aliados e parceiros e com a defesa da ordem internacional baseada em regras, inclusive no ciberespaço”.
No início de fevereiro, uma operação coordenada entre agências policiais conseguiu desmantelar uma botnet composta por centenas de roteadores de pequenos escritórios e residências (SOHO) nos Estados Unidos e na Alemanha. Essa botnet, acredita-se, foi utilizada pelos hackers do APT28 para ocultar suas atividades maliciosas, incluindo a exploração do CVE-2023-23397 em alvos de interesse.
De acordo com um relatório da Trend Micro divulgado esta semana, o botnet proxy criminoso de terceiros remonta a 2016 e não se limita apenas aos roteadores da Ubiquiti. Ele engloba também outros dispositivos, como roteadores baseados em Linux, Raspberry Pi e servidores virtuais privados (VPS).
"A empresa afirmou que os hackers por trás da botnet conseguiram migrar alguns dos bots EdgeRouter do servidor de Comando e Controle (C&C), que foi desativado em 26 de janeiro de 2024, para uma infraestrutura C&C recém-configurada no início de fevereiro de 2024", mencionou a empresa, destacando restrições legais e desafios técnicos que impediram uma limpeza completa de todos os roteadores afetados.
As atividades de ameaças cibernéticas patrocinadas pelo Estado russo, que incluem roubo de dados, ataques destrutivos, campanhas DDoS e operações de influência, são previstas como representando um risco significativo para as eleições em regiões como os Estados Unidos, o Reino Unido e a União Europeia. Vários grupos, como o APT44 (também conhecido como Sandworm), COLDRIVER, KillNet, APT29 e APT28, são apontados em uma avaliação divulgada pela Mandiant, subsidiária do Google Cloud, na semana passada.
"Em 2016, o APT28, ligado ao GRU, comprometeu os alvos da organização do Partido Democrata dos EUA, assim como a conta pessoal do presidente da campanha do candidato presidencial democrata, e coordenou uma campanha de vazamento antes das eleições presidenciais dos EUA de 2016", relataram os pesquisadores Kelli Vanderlee e Jamie Collier.
Além disso, os dados da Cloudflare e da NETSCOUT indicam um aumento nos ataques DDoS direcionados à Suécia após sua adesão à aliança da OTAN, refletindo um padrão semelhante observado durante a entrada da Finlândia na OTAN em 2023.
"Os suspeitos prováveis por trás desses ataques incluíam os grupos de hackers NoName057, Anonymous Sudan, Russian Cyber Army Team e KillNet", declarou a NETSCOUT. "Todos esses grupos possuem motivação política e apoiam os ideais russos."
Os desenvolvimentos ocorrem simultaneamente com agências governamentais do Canadá, Reino Unido e Estados Unidos publicando uma nova ficha informativa conjunta. Essa iniciativa visa auxiliar na proteção de organizações de infraestrutura crítica contra ataques contínuos lançados por aparentes hacktivistas pró-Rússia. Tais ataques têm como alvo sistemas de controle industrial (ICS) e sistemas operacionais de tecnologia (OT) de pequena escala desde 2022.
As agências observaram que a atividade hacktivista pró-Rússia parece predominantemente utilizar técnicas pouco sofisticadas para manipular equipamentos ICS e criar interrupções incômodas", afirmaram. "No entanto, as investigações identificaram que esses atores são capazes de empregar técnicas que representam ameaças físicas contra ambientes de OT inseguros e mal configurados".
Os alvos desses ataques incluem organizações nos setores de infraestrutura crítica na América do Norte e Europa, abrangendo sistemas de água e águas residuais, barragens, energia, alimentos e agricultura.
Os grupos hacktivistas foram observados obtendo acesso remoto ao explorar conexões expostas publicamente à Internet, além de explorar senhas padrão de fábrica associadas a interfaces homem-máquina (HMIs) predominantes nesses ambientes. Isso foi seguido pela adulteração de parâmetros de missão crítica, desativação de alarmes e bloqueio de operadores ao alterar senhas administrativas.
As recomendações para mitigar essa ameaça incluem fortalecer as interfaces homem-máquina, limitar a exposição dos sistemas de OT à internet, utilizar senhas fortes e exclusivas, e implementar autenticação multifatorial para todos os acessos à rede de OT.
"Esses hacktivistas visam comprometer sistemas de controle industrial (ICS) modulares expostos à internet, utilizando componentes de software, como interfaces homem-máquina (HMIs), explorando software de acesso remoto de computação em rede virtual (VNC) e senhas padrão", afirmou o alerta.
Via - THN
Kommentare