Um grupo de ciberespionagem apoiado pela Rússia, até então desconhecido e chamado de Void Blizzard, foi relacionado a uma violação de segurança na polícia holandesa em setembro de 2024.
Conforme revelado pela polícia nacional holandesa (Politie) no ano passado, os atacantes roubaram informações de contato relacionadas ao trabalho de vários oficiais, incluindo nomes, endereços de email, números de telefone e, em alguns casos, detalhes privados.
O Serviço de Inteligência e Segurança Geral dos Países Baixos (AIVD) e o Serviço de Inteligência e Segurança de Defesa dos Países Baixos (MIVD) na terça-feira vincularam o Void Blizzard a essa violação em um comunicado conjunto emitido na terça-feira, alertando que é altamente provável que esses hackers russos também tenham violado outras organizações holandesas.
Conforme explica o comunicado, o Void Blizzard acessou a conta de um funcionário da polícia holandesa em setembro de 2024 e roubou informações de contato de trabalho através da Lista de Endereços Global (GAL).
A investigação revelou que os atacantes provavelmente usaram um ataque pass-the-cookie, se passando pelo dono do cookie usando um cookie roubado via malware infostealer e comprado em um marketplace criminal.
Isso permitiu ao ator da ameaça acessar informações sem um nome de usuário ou senha.
“Vimos que este grupo de hackers consegue acessar informações sensíveis de um grande número de organizações (governamentais) e empresas mundialmente.
Eles têm um interesse específico nos países da União Europeia e da OTAN,” disse o Vice-Almirante Peter Reesink, diretor do MIVD.
Laundry Bear busca informações sobre a compra e produção de equipamentos militares pelos governos ocidentais e as entregas de armas ocidentais para a Ucrânia.
Também conhecido como Laundry Bear pelos serviços de inteligência holandeses, essa equipe de hackers está ativa desde pelo menos abril de 2024 e focada em atacar a Ucrânia e os estados membros da OTAN em ataques alinhados com os objetivos estratégicos russos.
As táticas, técnicas e procedimentos (TTPs) dos hackers russos incluem o uso de credenciais roubadas e e-mails de spear-phishing para violar as defesas de seus alvos.
Uma vez dentro, eles foram observados colhendo e exfiltrando arquivos e emails dos sistemas comprometidos de suas vítimas.
“As operações de ciberespionagem do Void Blizzard tendem a ser altamente direcionadas a organizações específicas de interesse do governo russo, incluindo nos setores governamental, de defesa, transporte, mídia, organizações não-governamentais (ONGs) e saúde, primariamente na Europa e América do Norte,” disse a Microsoft em um relatório na terça-feira(27).
Em particular, a atividade prolífica do ator de ameaça contra redes em setores críticos representa um risco aumentado para os estados membros da OTAN e aliados da Ucrânia em geral.
O Void Blizzard violou organizações em vários setores na Ucrânia, incluindo transporte e defesa.
Em outubro de 2024, eles também comprometeram contas de usuários em uma entidade de aviação ucraniana previamente alvo em 2022 por APT44 (Seashell Blizzard), ligado à Diretoria Principal de Inteligência do General Staff Russo (GRU).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...