O grupo hacker russo Sandworm visa perturbar as operações de cerca de 20 instalações de infraestrutura crítica na Ucrânia, conforme relatório do Certificado de Resposta a Emergências de Computador Ucraniano (CERT-UA).
Conhecido também como BlackEnergy, Seashell Blizzard, Voodoo Bear e APT44, acredita-se que os hackers estejam associados à Diretoria Principal do Estado-Maior das Forças Armadas da Rússia (o GRU), realizando ciberespionagem e ataques destrutivos a diversos alvos.
O CERT-UA informa que, em março de 2024, o APT44 conduziu operações para interromper sistemas de informação e comunicação de fornecedores de energia, água e aquecimento em 10 regiões da Ucrânia.
Os ataques ocorreram em março e, em alguns casos, os hackers conseguiram infiltrar-se na rede alvo através da contaminação da cadeia de suprimentos com a entrega de software comprometido ou vulnerável, ou através da capacidade do fornecedor do software de acessar sistemas da organização para manutenção e suporte técnico.
O Sandworm também combinou malware previamente documentado com novas ferramentas maliciosas (BIASBOAT e LOADGRIP para Linux) para obter acesso e mover-se lateralmente na rede.
A agência ucraniana destaca que as brechas do Sandworm foram facilitadas pelas práticas deficientes de cibersegurança dos alvos (por exemplo, falta de segmentação de rede e defesas insuficientes no nível do fornecedor de software).
De 7 a 15 de março de 2024, o CERT-UA envolveu-se em operações extensivas de contrataque cibernético, que incluíram informar as empresas afetadas, remover malware e reforçar medidas de segurança.
Baseado nas descobertas ao investigar os logs obtidos das entidades comprometidas, o Sandworm contou com os seguintes malwares para seus ataques aos fornecedores de serviços públicos da Ucrânia:
QUEUESEED/IcyWell/Kapeka: backdoor em C++ para Windows que coleta informações básicas do sistema e executa comandos de um servidor remoto.
Ele lida com operações de arquivo, execução de comandos e atualizações de configuração e pode se autoexcluir.
As comunicações são protegidas via HTTPS, e os dados são criptografados usando RSA e AES.
Armazena seus dados e mantém persistência em sistemas infectados criptografando sua configuração no registro do Windows e configurando tarefas ou entradas de registro para execução automática.
BIASBOAT (novo): uma variante Linux do QUEUESEED que surgiu recentemente.
Ele é disfarçado como um servidor de arquivos criptografados e opera junto com o LOADGRIP.
LOADGRIP (novo): também uma variante Linux do QUEUESEED desenvolvida em C, usada para injetar um payload em processos usando a API ptrace.
O payload geralmente é criptografado, e a chave de descriptografia é derivada de uma constante e um ID específico da máquina.
GOSSIPFLOW: Malware baseado em Go usado em Windows para configurar tunelamento usando a biblioteca multiplexadora Yamux; ele fornece funcionalidade de proxy SOCKS5 para ajudar na exfiltração de dados e comunicação segura com o servidor de comando e controle.
Ferramentas maliciosas adicionais descobertas pelo CERT-UA durante a investigação são do espaço de código aberto e incluem o webshell Weevly, os túneis Regeorg.Neo, Pitvotnacci e Chisel, LibProcessHider, JuicyPotatoNG e RottenPotatoNG.
Os atores da ameaça usaram essas ferramentas para manter persistência, ocultar processos maliciosos e elevar seus privilégios em sistemas comprometidos.
A agência ucraniana acredita que o propósito desses ataques era aumentar o efeito dos ataques com mísseis russos nas instalações de infraestrutura alvo.
Na semana passada, a Mandiant expôs a conexão do Sandworm com três grupos de hacktivistas no Telegram que anteriormente reivindicaram ataques a infraestruturas críticas na Europa e nos EUA.
O relatório do CERT-UA fornece uma longa lista de indicadores de comprometimento que inclui arquivos, hosts e detalhes de rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...