0
0
Como parte de sua invasão contínua da Ucrânia, a inteligência russa mais uma vez recrutou os serviços do grupo de hackers Nobelium / APT29, desta vez para espionar ministérios das Relações Exteriores e diplomatas dos estados membros da OTAN, bem como outros alvos na União Europeia e na África.
O momento também se encaixa com uma série de ataques à infraestrutura canadense, que também se acredita estar ligada à Rússia.
O Serviço de Contrainteligência Militar da Polônia e a equipe da CERT na Polônia emitiram um alerta em 13 de abril, juntamente com indicadores de compromisso, alertando potenciais alvos da campanha de espionagem sobre a ameaça. Nobelium, como o grupo é designado pela Microsoft, também chamado de APT29 pela Mandiant, não é novo no jogo de espionagem do estado-nação, o grupo estava por trás do infame ataque à cadeia de suprimentos da SolarWinds há quase três anos.
Agora, o APT29 está de volta com todo um novo conjunto de ferramentas de malware e ordens de marcha relatadas para se infiltrar no corpo diplomático de países que apoiam a Ucrânia, explicaram os militares poloneses e o alerta da CERT.
APT29 está de volta com novos pedidos
Em todos os casos, a ameaça persistente avançada (APT) começa seu ataque com um e-mail de spear-phishing bem concebido, de acordo com o alerta polonês.
“E-mails se passando por embaixadas de países europeus foram enviados para pessoal selecionado em postos diplomáticos”, explicaram as autoridades. “A correspondência continha um convite para uma reunião ou para trabalhar em conjunto em documentos.”
A mensagem então direcionaria o destinatário a clicar em um link ou baixar um PDF para acessar o calendário do embaixador, ou obter detalhes da reunião – ambos enviam os alvos para um site malicioso carregado com o “script de assinatura” do grupo de ameaças, que o relatório identifica como “Envyscout”.
“Eunão utilizo a técnica de contrabando de HTML – em que um arquivo malicioso colocado na página é decodificado usando JavaScript quando a página é aberta e depois baixada no dispositivo da vítima”, acrescentaram as autoridades polonesas. “Isso torna o arquivo mal-intencionado mais difícil de detectar no lado do servidor onde ele está armazenado.”
O site malicioso também envia aos alvos uma mensagem tranquilizando-os de que baixaram o arquivo correto, disse o alerta.
“Os ataques de spear-phishing são bem-sucedidos quando as comunicações são bem escritas, usam informações pessoais para demonstrar familiaridade com o alvo e parecem vir de uma fonte legítima”, disse Patrick Harr, CEO da SlashNext, à Dark Reading sobre a campanha. “Esta campanha de espionagem atende a todos os critérios de sucesso.”
Um e-mail de phishing, por exemplo, se passou pela embaixada polonesa e, curiosamente, ao longo da campanha observada, a ferramenta Envyscout foi ajustada três vezes com melhorias de ofuscação, observaram as autoridades polonesas.
Uma vez comprometido, o grupo usa versões modificadas do Snowyamber downloader, Halfrig, que executa o Cobalt Strike como código incorporado, e Quarterrig, que compartilha código com o Halfrig, disse o alerta polonês.
“Estamos vendo um aumento nesses ataques em que o ator mal-intencionado usa vários estágios em uma campanha para ajustar e melhorar o sucesso”, acrescenta Harr. “Eles empregam técnicas de automação e aprendizado de máquina para identificar o que está evitando a detecção e modificar ataques subsequentes para melhorar o sucesso.”
Governos, diplomatas, organizações internacionais e organizações não-governamentais (ONGs) devem estar em alerta máximo para este e outros esforços de espionagem russos, de acordo com as autoridades polonesas de segurança cibernética.
“O Serviço de Contrainteligência Militar e CERT.PL recomendam fortemente que todas as entidades que possam estar na área de interesse do ator implementem mudanças de configuração para interromper o mecanismo de entrega que foi usado na campanha descrita”, disseram autoridades.
Ataques ligados à Rússia à infraestrutura do Canadá
Além dos avisos das autoridades polonesas de segurança cibernética, na semana passada, o primeiro-ministro do Canadá, Justin Trudeau, fez declarações públicas sobre uma recente onda de ataques cibernéticos ligados à Rússia direcionados à infraestrutura canadense, incluindo ataques de negação de serviço à Hydro-Québec, concessionária de energia elétrica, o site do escritório de Trudeau, o Porto de Quebec e Banco Laurentiano. Trudeau disse que os ataques cibernéticos estão relacionados ao apoio do Canadá à Ucrânia.
“Um par de ataques de negação de serviço em sites do governo, derrubando-os por algumas horas, não vai nos fazer repensar nossa posição inequívoca de fazer o que for preciso pelo tempo que for necessário para apoiar a Ucrânia”, disse Trudeau, de acordo com relatos.
O chefe do Centro Canadense de Segurança Cibernética, Sami Khoury, disse em uma coletiva de imprensa na semana passada que, embora não tenha havido danos causados à infraestrutura do Canadá, “a ameaça é real”. Se você administra os sistemas críticos que alimentam nossas comunidades, oferece acesso à Internet aos canadenses, fornece cuidados de saúde ou geralmente opera qualquer um dos serviços que os canadenses não podem prescindir, você deve proteger seus sistemas “, disse Khoury. “Monitore suas redes. Aplique mitigações.”
Os esforços de cibercrime da Rússia se enfurecem
À medida que a invasão da Ucrânia pela Rússia avança para seu segundo ano, Mike Parkin, da Vulcan Cyber, diz que as campanhas recentes não devem ser uma surpresa.
“A comunidade de segurança cibernética tem observado as consequências e os danos colaterais do conflito na Ucrânia desde que começou, e sabemos que os agentes de ameaças russos e pró-russos estavam ativos contra alvos ocidentais”, diz Parkin. “Considerando os níveis de atividade cibercriminosa com os quais já estávamos lidando, [estes são] apenas algumas novas ferramentas e novos alvos – e um lembrete para garantir que nossas defesas estejam atualizadas e devidamente configuradas”.
FONTE: DARK READING