Falha na Microsoft: Outlook é alvo de hackers russos
6 de Maio de 2024

A República Tcheca e a Alemanha revelaram na sexta-feira,06, que foram alvo de uma campanha de longo prazo de espionagem cibernética realizada pelo ator estatal vinculado à Rússia conhecido como APT28, provocando condenações da União Europeia (UE), da Organização do Tratado do Atlântico Norte (OTAN), do Reino Unido e dos EUA.

O Ministério das Relações Exteriores da República Tcheca, em uma declaração, disse que algumas entidades não nomeadas no país foram atacadas usando uma falha de segurança no Microsoft Outlook que veio à tona no início do ano passado.

"Ataques cibernéticos visando entidades políticas, instituições estatais e infraestruturas críticas não são apenas uma ameaça à segurança nacional, mas também perturbam os processos democráticos nos quais nossa sociedade livre é baseada", disse o Ministério das Relações Exteriores.

A falha de segurança em questão é a CVE-2023-23397 , um bug crítico de escalonamento de privilégios no Outlook que agora foi corrigido e poderia permitir que um adversário acessasse hashes Net-NTLMv2 e, em seguida, usasse-os para se autenticar por meio de um ataque de relay.

O Governo Federal da Alemanha (conhecido como Bundesregierung) atribuiu o ator de ameaça a um ataque cibernético direcionado ao Comitê Executivo do Partido Social Democrata usando a mesma vulnerabilidade no Outlook por um "período relativamente longo", permitindo que "comprometesse inúmeras contas de email".

Alguns dos setores industriais visados como parte da campanha incluem logística, armamentos, a indústria aeroespacial, serviços de TI, fundações e associações localizadas na Alemanha, Ucrânia e Europa, com o Bundesregierung também implicando o grupo no ataque de 2015 ao parlamento federal alemão (Bundestag).

O APT28, avaliado como ligado à Unidade Militar 26165 da agência de inteligência militar da Federação Russa GRU, também é rastreado pela comunidade de cibersegurança sob os nomes BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy e TA422.

No final do mês passado, a Microsoft atribuiu o grupo de hackers à exploração de um componente do Microsoft Windows Print Spooler ( CVE-2022-38028 , pontuação CVSS: 7.8) como um zero-day para entregar um malware personalizado anteriormente desconhecido chamado GooseEgg para infiltrar organizações governamentais, não-governamentais, educacionais e do setor de transporte da Ucrânia, Europa Ocidental e América do Norte.

A OTAN disse que as ações híbridas da Rússia "constituem uma ameaça à segurança aliada".

O Conselho da União Europeia também se manifestou, declarando que a "campanha cibernética maliciosa mostra o padrão contínuo de comportamento irresponsável da Rússia no ciberespaço".

"A atividade recente do grupo cibernético GRU russo APT28, incluindo o alvo ao executivo do Partido Social Democrata alemão, é o mais recente em um padrão conhecido de comportamento pelos Serviços de Inteligência Russos para minar processos democráticos em todo o mundo", disse o governo do Reino Unido.

O Departamento de Estado dos EUA descreveu o APT28 como conhecido por se engajar em "comportamento malicioso, nefasto, desestabilizador e disruptivo" e que está comprometido com a "segurança de nossos aliados e parceiros e a manutenção da ordem internacional baseada nas regras, incluindo no ciberespaço".

Em fevereiro deste ano, uma ação coordenada de aplicação da lei interrompeu uma botnet composta por centenas de roteadores de pequenos escritórios e residências (SOHO) nos EUA e na Alemanha que os atores do APT28 acreditam ter usado para ocultar suas atividades maliciosas, como a exploração do CVE-2023-23397 contra alvos de interesse.

De acordo com um relatório da empresa de cibersegurança Trend Micro esta semana, a botnet de proxy criminal de terceiros data de 2016 e consiste em mais do que apenas roteadores da Ubiquiti, abrangendo outros roteadores baseados em Linux, Raspberry Pi e servidores privados virtuais (VPS).

"O ator de ameaça conseguiu transferir alguns dos bots EdgeRouter do servidor de C&C que foi desativado em 26 de janeiro de 2024, para uma infraestrutura de C&C recém-configurada no início de fevereiro de 2024", disse a empresa, acrescentando que restrições legais e desafios técnicos impediram uma limpeza completa de todos os roteadores enredados.

A atividade cibernética patrocinada pelo estado russo – roubo de dados, ataques destrutivos, campanhas DDoS e operações de influência, também é esperada para representar um risco severo para eleições em regiões como os EUA, o Reino Unido e a UE por vários grupos como APT44 (também conhecido como Sandworm), COLDRIVER, KillNet, APT29 e APT28, segundo uma avaliação divulgada pela subsidiária da Google Cloud, Mandiant, na semana passada.

"Em 2016, o APT28 ligado à GRU comprometeu alvos de organizações do Partido Democrático dos EUA, bem como a conta pessoal do presidente de campanha do candidato presidencial democrático, e orquestrou uma campanha de vazamento antes das eleições presidenciais dos EUA de 2016", disseram os pesquisadores Kelli Vanderlee e Jamie Collier.

Além disso, dados da Cloudflare e da NETSCOUT mostram um aumento nos ataques DDoS visando a Suécia após sua aceitação na aliança da OTAN, espelhando o padrão observado durante a adesão da Finlândia à OTAN em 2023.

"Os prováveis culpados desses ataques incluíram os grupos de hackers NoName057, Anonymous Sudan, Russian Cyber Army Team e KillNet", disse a NETSCOUT.

Todos esses grupos são politicamente motivados, apoiando ideais russos. Os desenvolvimentos ocorrem enquanto agências governamentais do Canadá, Reino Unido e EUA lançaram uma nova folha informativa conjunta para ajudar a proteger organizações de infraestrutura crítica contra ataques contínuos lançados por hacktivistas pró-Rússia aparentes contra sistemas de controle industrial (ICS) e sistemas de tecnologia operacional (OT) em pequena escala desde 2022.

"A atividade hacktivista pró-Rússia parece ser em sua maioria limitada a técnicas pouco sofisticadas que manipulam equipamentos de ICS para criar efeitos de incômodo", disseram as agências.

No entanto, as investigações identificaram que esses atores são capazes de técnicas que representam ameaças físicas contra ambientes OT inseguros e mal configurados. Alvos desses ataques incluem organizações nos setores de infraestrutura crítica da América do Norte e da Europa, incluindo sistemas de água e esgoto, barragens, energia e setores de alimentos e agricultura.

Observou-se que os grupos hacktivistas ganham acesso remoto explorando conexões voltadas para a internet expostas publicamente, bem como senhas padrão de fábrica associadas a interfaces de máquina humana (HMIs) prevalentes nesses ambientes, seguidos pela manipulação de parâmetros críticos para a missão, desligando mecanismos de alarme e bloqueando operadores alterando senhas administrativas.

Recomendações para mitigar a ameaça incluem o fortalecimento das interfaces de máquina humana, limitando a exposição dos sistemas OT à internet, usando senhas fortes e únicas e implementando autenticação de múltiplos fatores para todo acesso à rede OT.

"Esses hacktivistas buscam comprometer sistemas de controle industrial modulares expostos à internet (ICS) através de seus componentes de software, como interfaces de máquina humana (HMIs), explorando software de acesso remoto de computação em rede virtual (VNC) e senhas padrão", disse o alerta.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...