0
0
O grupo de ameaças ligado à Rússia conhecido como APT28 mudou suas táticas para incluir o Office 365, que quebra senhas e a coleta de credenciais.
Pesquisadores da Microsoft vincularam o APT28 (também conhecido como Estrôncio, Sofacy ou Fancy Bear) a este padrão recém-descoberto de atividade O365, que começou em abril e está em andamento. Os ataques têm sido direcionados principalmente a organizações dos EUA e do Reino Unido diretamente envolvidas em eleições políticas.
O APT muitas vezes trabalha para obter credenciais válidas a fim de montar campanhas de espionagem ou mover-se lateralmente através de redes – na verdade, a telemetria da Microsoft mostra que o grupo lançou ataques de coleta de credenciais contra dezenas de milhares de contas em mais de 200 organizações entre setembro passado e junho. Entre 18 de agosto e 3 de setembro, o grupo (sem sucesso) teve como alvo 6.912 contas O365 pertencentes a 28 organizações.
“Nem todas as organizações alvo estavam relacionadas à eleição”, explicou a empresa, em um blog publicado na sexta-feira. “No entanto, achamos importante destacar uma potencial ameaça emergente à eleição presidencial dos EUA em 2020 e a futuras disputas eleitorais no Reino Unido.”
A atividade se encaixa com outras descobertas recentes da Microsoft que, poucos meses antes das eleições presidenciais dos EUA, hackers da Rússia, China e Irã estão aumentando os ataques de phishing e malware contra funcionários da campanha. Deve-se notar que o APT28 é amplamente visto como responsável pela intromissão eleitoral em 2016 e pelo ataque ao Comitê Nacional Democrata (inclusive pelo governo dos EUA).
Raking em uma “Colheita” de Outono
Enquanto o APT28 dependia fortemente do spear-phishing em seus esforços de colheita de credenciais indo para as eleições presidenciais de 2016, desta vez está se voltando para a força bruta e pulverização de senhas.
“Essa mudança de tática, também feita por vários outros atores do Estado-nação, permite que eles executem operações de colheita de credenciais em larga escala de forma mais anonimizada”, segundo a Microsoft. “O Estrôncio de ferramentas está usando rotas de suas tentativas de autenticação através de um pool de aproximadamente 1.100 IPs, a maioria associada ao serviço de anonimização do Tor.”
Esse conjunto de infraestruturas — o “tooling” — é bastante fluido e dinâmico, de acordo com a pesquisa, com uma média de aproximadamente 20 IPs adicionados e removidos dele por dia. Os ataques utilizaram uma média diária de 1.294 IPs associados a 536 netblocks e 273 ASNs; e, as organizações normalmente vêem mais de 300 tentativas de autenticação por hora por conta direcionada ao longo de várias horas ou dias.
“A ferramenta de estrôncio alterna suas tentativas de autenticação entre esse pool de IPs aproximadamente uma vez por segundo”, disseram os pesquisadores da Microsoft. “Considerando a amplitude e velocidade dessa técnica, parece provável que o Estrôncio tenha adaptado sua ferramenta para usar um serviço de anonimizador para ofuscar sua atividade, evitar o rastreamento e evitar a atribuição.”
O APT28 também foi observado usando pulverização de senha – uma leve torção nos esforços de força bruta de alto volume descritos acima.
“A ferramenta tenta combinações de nome de usuário/senha de uma maneira ‘low-‘n-slow'”, explicaram os pesquisadores da Microsoft. “As organizações alvo da ferramenta em execução neste modo normalmente vêem aproximadamente quatro tentativas de autenticação por hora por conta direcionada ao longo de vários dias ou semanas, com quase todas as tentativas originadas de um endereço IP diferente.”
Visão geral da atividade. Fonte: Microsoft
No geral, as organizações alvo desses ataques viram tentativas generalizadas de autenticação em suas pegadas, com uma média de 20% do total de contas sofrendo um ataque.
“Em alguns casos… a ferramenta pode ter descoberto essas contas simplesmente tentando autenticações contra um grande número de possíveis nomes de contas até encontrar as que eram válidas”, de acordo com a gigante da computação.
O APT28 — acredita-se estar ligado à inteligência militar russa — atacou mais de 200 organizações este ano, incluindo campanhas políticas, grupos de defesa, partidos e consultores políticos, observou a Microsoft. Estes incluem think-tanks como o German Marshall Fund dos Estados Unidos, o Partido Popular Europeu e vários consultores americanos que servem republicanos e democratas. Organizações e indivíduos podem se proteger aplicando autenticação multifatorial (MFA) e monitorando ativamente as autenticações com falha para o serviço em nuvem.
“Existem alguns passos muito simples que empresas e indivíduos direcionados podem tomar para melhorar significativamente a segurança de suas contas e tornar esses tipos de ataques muito mais difíceis”, observou a Microsoft.
FONTE: THREATPOST