Hackers de elite associados ao serviço de inteligência militar da Rússia foram ligados a campanhas de phishing em grande volume direcionadas a centenas de usuários na Ucrânia para extrair informações e influenciar o discurso público relacionado à guerra.
O Grupo de Análise de Ameaças (TAG, na sigla em inglês) do Google, que monitora as atividades do ator sob o nome FROZENLAKE, disse que os ataques continuam o "foco do grupo de 2022 em direcionar usuários de webmail na Europa Oriental".
O ator cibernético patrocinado pelo Estado, também rastreado como APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit e Sofacy, é altamente ativo e proficiente.
Ele está ativo desde pelo menos 2009, visando mídia, governos e entidades militares para espionagem.
O último conjunto de intrusões, iniciado no início de fevereiro de 2023, envolveu o uso de ataques de script entre sites (XSS) refletidos em vários sites do governo ucraniano para redirecionar os usuários para domínios de phishing e capturar suas credenciais.
A divulgação ocorre quando as agências de inteligência e aplicação da lei do Reino Unido e dos EUA divulgaram um aviso conjunto alertando sobre os ataques da APT28 explorando uma vulnerabilidade antiga e conhecida em roteadores Cisco para implantar malware conhecido como Jaguar Tooth.
FROZENLAKE está longe de ser o único ator focado na Ucrânia desde a invasão militar da Rússia ao país há mais de um ano.
Outro coletivo adversário notável é FROZENBARENTS - também conhecido como Sandworm, Seashell Blizzard (anteriormente conhecido como Iridium) ou Voodoo Bear - que se envolveu em um esforço sustentado para atingir organizações afiliadas ao Consórcio do Oleoduto do Cáspio (CPC) e outras entidades do setor de energia na Europa Oriental.
Ambos os grupos foram atribuídos à Diretoria Principal de Inteligência do Estado-Maior Geral (GRU, na sigla em russo), com APT28 ligado à unidade de inteligência militar 26165 do 85º Centro de Serviço Especial (GTsSS).
Já Sandworm é considerado parte da Unidade 74455 do GRU.
A campanha de coleta de credenciais visou os funcionários da CPC com links de phishing entregues via SMS.
Os ataques contra o setor de energia distribuíram links para pacotes falsos de atualização do Windows que, por fim, executaram um ladrão de informações conhecido como Rhadamanthys para exfiltrar senhas e cookies do navegador.
FROZENBARENTS, apelidado de "ator cibernético mais versátil do GRU", também foi observado lançando ataques de phishing de credenciais direcionados à indústria de defesa ucraniana, militar e usuários de webmail Ukr a partir do início de dezembro de 2022.
O ator da ameaça também criou personas online em plataformas como YouTube, Telegram e Instagram para disseminar narrativas pró-russas, vazar dados roubados de organizações comprometidas e postar alvos para ataques de negação de serviço distribuídos (DDoS).
Um terceiro ator de ameaças de interesse é o PUSHCHA (também conhecido como Ghostwriter ou UNC1151), um grupo apoiado pelo governo bielorrusso que age em nome de interesses russos e que realizou ataques de phishing direcionados a provedores de webmail ucranianos, como i e meta, para extrair credenciais.
Por fim, o Google TAG também destacou um conjunto de ataques montados pelo grupo por trás do ransomware Cuba para implantar o RAT RomCom nas redes governamentais e militares ucranianas.
"Isso representa uma grande mudança das operações de ransomware tradicionais deste ator, comportando-se de forma mais semelhante a um ator conduzindo operações para coleta de inteligência", observou o pesquisador do TAG, Billy Leonard.
O desenvolvimento também segue um novo alerta do Centro Nacional de Segurança Cibernética (NCSC, na sigla em inglês) do Reino Unido sobre ameaças emergentes a organizações de infraestrutura crítica alinhadas ao estado, especialmente aquelas que são "simpatizantes" da invasão russa na Ucrânia.
"Esses grupos não são motivados por ganho financeiro, nem estão sujeitos ao controle do estado, e por isso suas ações podem ser menos previsíveis e seu alvo mais amplo do que os atores tradicionais de cibercrime", disse a agência.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...