0
0
O mais recente de uma enxurrada de ações esta semana, ligadas a ameaças estrangeiras contra sistemas de computador dos EUA, inclui sanções do Departamento do Tesouro.
O governo Trump sancionou uma instituição de pesquisa do governo russo na sexta-feira alegando que estava por trás de uma série de ataques cibernéticos usando o malware tritão altamente destrutivo.
O Departamento do Departamento de Controle de Ativos Estrangeiros (OFAC) disse que o malware Triton foi usado em vários ataques contra parceiros dos EUA no Oriente Médio e foi visto sondando instalações dos EUA.
Triton (também conhecido como TRISIS ou HatMan) é mais conhecido por uma série de ataques de 2017 a uma instalação petroquímica da Arábia Saudita, onde tinha como alvo sistemas de segurança com a intenção de causar perda de vidas ou danos físicos, de acordo com pesquisadores da época.
“Este ataque cibernético foi apoiado pelo Centro de Pesquisa do Estado da Federação Russa FGUP Central Scientific Research Institute of Chemistry and Mechanics (TsNIIKhM), uma instituição de pesquisa controlada pelo governo russo que é responsável pela construção de ferramentas personalizadas que permitiram o ataque”, de acordo com um comunicado do Departamento do Tesouro emitido na sexta-feira.
“Esta Administração continuará a defender agressivamente a infraestrutura crítica dos Estados Unidos de qualquer um que tente interrompê-la”, disse o secretário do Tesouro, Steven Mnuchin, em um comunicado.
Ao longo dos anos, acredita-se que o grupo avançado de ameaça persistente (APT) identificado como XENOTIME esteja por trás dos ataques de malware triton. Há cerca de um ano, a APT expandiu-se além do foco inicial das empresas petroquímicas da Arábia Saudita.
De acordo com uma análise de 2019 da Dragos,o grupo começou a atingir dezenas de concessionárias de energia elétrica nas regiões norte-americana e ásia-pacífico. Dragos disse que, na época, esperava que Triton fosse usado para atacar sistemas de controle industrial que gerenciavam usinas de água e indústrias de manufatura.
Na sexta-feira, o Departamento do Tesouro acusou o TsNIIKhM de “conscientemente se envolver em atividades significativas que prejudicam a segurança cibernética contra qualquer pessoa, incluindo uma instituição democrática, ou governo em nome do Governo da Federação Russa”, de acordo com a Seção 224 da Lei de Combate aos Adversários da América através da Lei de Sanções.
Friday’s sanctions against Russia cap a busy week for U.S. cyber defenses. On Wednesday, federal officials claim that Iranian threat actors are behind two separate email campaigns that assailed Democratic voters this week with threats to “vote for Trump or else.” The campaigns claimed to be from violent extremist group Proud Boys.
On Thursday, the Trump administration claimed Iran and Russia hacked local governments local governments and obtained voter registration and other personal data, first reported by NBC News. On Tuesday, the National Security Agency released an advisory (PDF) warning Chinese state-sponsored actors were exploiting 25 publicly known vulnerabilities. On Monday, the Department of Justice announced charges against six Russian nationals who are allegedly tied to the Sandworm APT.
FONTE: THREATPOST