Hackers militares da APT28 russa usaram exploits do zero-day do Microsoft Outlook para mirar em vários países membros da OTAN na Europa, incluindo um Corpo de Implantação Rápida da OTAN.
Os pesquisadores da Unidade 42 da Palo Alto Networks observaram eles explorando a vulnerabilidade
CVE-2023-23397
por cerca de 20 meses em três campanhas contra pelo menos 30 organizações em 14 nações consideradas de importância estratégica provável para a inteligência militar e governamental da Rússia.
Os hackers russos também são rastreados como Fighting Ursa, Fancy Bear e Sofacy, e já foram anteriormente ligados à Diretoria Principal de Inteligência (GRU), o serviço de inteligência militar do país.
Eles começaram a usar a falha de segurança do Outlook como um zero-day em março de 2022, três semanas após a Rússia invadir a Ucrânia, para mirar no Serviço de Migração do Estado da Ucrânia.
Entre meados de abril e dezembro de 2022, eles violaram as redes de cerca de 15 organizações governamentais, militares, energéticas e de transporte na Europa para roubar e-mails possivelmente contendo inteligência militar para apoiar a invasão da Ucrânia pela Rússia.
Mesmo que a Microsoft tenha corrigido o zero-day um ano depois, em março de 2023, e vinculado a um grupo hacker russo, os operadores da APT28 continuaram usando os exploits
CVE-2023-23397
para roubar credenciais que lhes permitiam mover-se lateralmente por redes comprometidas.
A superfície do ataque aumentou ainda mais em maio, quando um bypass (
CVE-2023-29324
) afetando todas as versões do Outlook para Windows apareceu.
Hoje, a Unidade 42 disse que entre as nações europeias atacadas, todos os países identificados são membros atuais da Organização do Tratado do Atlântico Norte (OTAN), excluindo a Ucrânia.
Pelo menos uma Força de Implantação Rápida da OTAN (Force Headquarters de alta prontidão, capaz de implantação rápida para comandar as forças da OTAN) também foi alvo.
Adicionalmente, além da Defesa Europeia, as agências de Relações Exteriores e Internas, o foco da APT28 estendeu-se a organizações de infraestrutura crítica envolvidas na produção e distribuição de energia, operações de infraestrutura de dutos e manipulação de materiais, pessoal e transporte aéreo.
"Usar um exploit de zero-day contra um alvo indica que ele é de grande valor.
Além disso, sugere que o acesso e a inteligência para esse alvo eram insuficientes na época", disse a Unidade 42.
"Nas segunda e terceira campanhas, a Fighting Ursa continuou a usar um exploit conhecido publicamente que já havia sido atribuído a eles, sem alterar suas técnicas.
Isso sugere que o acesso e a inteligência gerados por essas operações superavam as ramificações da saída pública e descoberta.
"Por essas razões, as organizações visadas nas três campanhas provavelmente tinham uma prioridade maior do que o normal para a inteligência russa."
Em outubro, a agência de cibersegurança francesa (ANSSI) divulgou que hackers russos usaram a falha de segurança do Outlook para atacar órgãos governamentais, corporações, instituições educacionais, centros de pesquisa e think tanks em toda a França.
Esta semana, o Reino Unido e aliados, parte da aliança de inteligência Five Eyes, também vincularam um grupo de ameaças rastreadas como Callisto Group, Seaborgium e Star Blizzard à 'Centre 18' divisão do Serviço de Segurança Federal (FSB) da Rússia.
Os analistas de ameaças da Microsoft frustraram ataques da Callisto direcionados a várias nações da OTAN na Europa, desativando contas da Microsoft usadas pelos atores da ameaça para vigilância e colheita de e-mails.
O governo dos EUA agora oferece uma recompensa de $10 milhões por informações sobre os membros do Callisto e suas atividades.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...