0
0
A Agência de Segurança cibernética e infraestrutura dos EUA (CISA), o Departamento de Segurança Interna (DHS) e o Federal Bureau of Investigation (FBI) publicaram na segunda-feira um novo aviso conjunto como parte de suas mais recentes tentativas de expor as táticas, técnicas e procedimentos (TTPs) adotados pelo Serviço russo de Inteligência Estrangeira (SVR) em seus ataques direcionados aos EUA e entidades estrangeiras.
Ao empregar “tradecraft de intrusão furtiva dentro de redes comprometidas”, as agências de inteligência disseramque “a atividade SVR — que inclui o recente compromisso da cadeia de suprimentos SolarWinds Orion— tem como alvo principalmente redes governamentais, organizações de análise de think tank e políticas e empresas de tecnologia da informação e busca coletar informações de inteligência.”
O ator cibernético também está sendo rastreado sob diferentes apelidos, incluindo Advanced Persistent Threat 29 (APT29), The Dukes, CozyBear e Yttrium. O desenvolvimento ocorre quando os EUA sancionaram a Rússia e formalmente atribuíram o hack solarwinds e a campanha de ciberespionagem relacionada a agentes do governo que trabalham para a SVR.
O APT29, desde que surgiu no cenário de ameaças em 2013, tem sido ligado a uma série de ataques orquestrados com o objetivo de obter acesso às redes de vítimas, mover-se dentro de ambientes de vítimas sem serem detectados e extrair informações confidenciais. Mas em uma notável mudança de tática em 2018, o ator passou de implantar malware em redes de destino para impressionantes serviços de e-mail baseados em nuvem, fato suportado pelo ataque do SolarWinds, no qual o ator aproveitou binários orion como um vetor de intrusão para explorar ambientes do Microsoft Office 365.
Essa semelhança no tradecraft pós-infecção com outros ataques patrocinados pela SVR, incluindo a forma como o adversário se moveu lateralmente pelas redes para obter acesso a contas de e-mail, é dito ter desempenhado um papel enorme na atribuição da campanha SolarWinds ao serviço de inteligência russo, apesar de uma notável partida no método usado para ganhar uma base inicial.
“Direcionar recursos em nuvem provavelmente reduz a probabilidade de detecção usando contas comprometidas ou configurações erradas do sistema para se misturar com tráfego normal ou não monitorado em um ambiente não bem defendido, monitorado ou compreendido pelas organizações vítimas”, observou a agência.
Entre algumas das outras táticas colocadas em uso pelo APT29 estão a pulverização de senhas (observada durante um compromisso de 2018 de uma grande rede sem nome), a exploração de falhas de zero-day contra aparelhos de rede privada virtual (como o CVE-2019-19781) para obter acesso à rede e a implantação de malware aang Gol chamado WELLMESS para saquear propriedade intelectual de várias organizações envolvidas no desenvolvimento de vacinas COVID-19.
Além do CVE-2019-19781, o ator de ameaças é conhecido por ganhar bases iniciais em dispositivos e redes de vítimas, aproveitando CVE-2018-13379, CVE-2019-9670, CVE-2019-11510e CVE-2020-4006. Também está no mix a prática de obter servidores virtuais privados através de identidades falsas e criptomoedas, e contar com números de telefone VoIP temporários e contas de e-mail, fazendo uso de um serviço de e-mail anônimo chamado cock.li.
“O FBI e o DHS recomendam que os provedores de serviços fortaleçam seus sistemas de validação e verificação de usuários para proibir o uso indevido de seus serviços”, lê-se também na assessoria, ao mesmo tempo em que exorta as empresas a proteger suas redes de um compromisso de software confiável.
FONTE: THE HACKER NEWS