Agentes patrocinados pelo estado com vínculos com a Rússia foram conectados a ataques cibernéticos direcionados contra entidades diplomáticas francesas, informou a agência de segurança da informação do país, ANSSI, em um comunicado.
Os ataques foram atribuídos a um cluster monitorado pela Microsoft sob o nome de Midnight Blizzard (anteriormente Nobelium), que se sobrepõe a atividades rastreadas como APT29, BlueBravo, Cloaked Ursa, Cozy Bear e The Dukes.
Enquanto os codinomes APT29 e Midnight Blizzard têm sido usados alternadamente para se referir a conjuntos de intrusões associados ao Serviço de Inteligência Estrangeira da Rússia (SVR), a ANSSI afirmou que prefere tratá-los como clusters de ameaças distintos juntamente com um terceiro denominado Dark Halo, que foi responsabilizado pelo ataque à cadeia de suprimentos em 2020 via software SolarWinds.
"Nobelium é caracterizado pelo uso de códigos específicos, táticas, técnicas e procedimentos. A maioria das campanhas de Nobelium contra entidades diplomáticas utiliza contas de e-mail legítimas comprometidas pertencentes ao pessoal diplomático e conduz campanhas de phishing contra instituições diplomáticas, embaixadas e consulados", disse a agência.
Vale ressaltar que o direcionamento de entidades diplomáticas também é monitorado sob o nome de Diplomatic Orbiter.
Os ataques envolvem o envio de e-mails de phishing para organizações públicas francesas de instituições e indivíduos estrangeiros previamente comprometidos pelo ator de ameaça para iniciar uma série de ações maliciosas.
"Em maio de 2023, várias embaixadas europeias em Kiev foram alvo de uma campanha de phishing conduzida pelos operadores de Nobelium", disse.
"A embaixada francesa em Kiev foi um dos alvos desta campanha, que foi realizada por meio de um e-mail que tinha como tema uma 'Venda de carro diplomático'." Outro ataque observado no mesmo mês direcionado à Embaixada Francesa na Romênia acabou sendo mal-sucedido, notou a ANSSI.
Outras intrusões realizadas pelo ator de ameaça aproveitaram falhas de segurança nos servidores da JetBrains TeamCity como parte de uma campanha oportunista.
Nos últimos meses, também foi vinculado a violações de segurança na Microsoft e na Hewlett Packard Enterprise (HPE).
"O direcionamento de entidades de TI e cibersegurança para fins de espionagem por operadores de Nobelium potencialmente reforça suas capacidades ofensivas e a ameaça que representam", disse a agência.
"As informações coletadas durante ataques recentes contra entidades do setor de TI também poderiam facilitar as operações futuras de Nobelium." A divulgação ocorre ao mesmo tempo que a Polônia revelou que hackers russos poderiam estar por trás do ataque de DDoS à Telewizja Polska (TVP) que levou à interrupção de uma transmissão online do torneio de futebol Euro 2024 em 16 de junho de 2024.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...