Um grupo de ameaças rastreado como APT28 e ligado à Diretoria Principal de Inteligência do Estado-Maior General da Rússia (GRU) invadiu servidores de e-mail Roundcube pertencentes a várias organizações ucranianas, incluindo entidades governamentais.
Nessas ataques, o grupo de ciberespionagem (também conhecido como BlueDelta, Fancy Bear, Sednit e Sofacy) usou notícias sobre o conflito em curso entre Rússia e Ucrânia para enganar destinatários, fazendo-os abrir e-mails maliciosos que explorariam vulnerabilidades do Roundcube Webmail para invadir servidores não corrigidos.
Após invadir os servidores de e-mail, os hackers de inteligência militar russa implantaram scripts maliciosos que redirecionavam os e-mails recebidos de indivíduos-alvo para um endereço de e-mail controlado pelos atacantes.
Esses scripts também foram usados para reconhecimento e roubo da lista de endereços do Roundcube, cookies de sessão e outras informações armazenadas no banco de dados do Roundcube.
Com base nas evidências coletadas durante a investigação, o objetivo da campanha era colher e roubar inteligência militar para apoiar a invasão da Ucrânia pela Rússia, de acordo com uma investigação conjunta conduzida pela Equipe de Resposta a Emergências Computacionais (CERT-UA) da Ucrânia e pela Insikt Group, da Recorded Future.
Também se estima que a infraestrutura empregada pelos hackers militares do APT28 nestes ataques esteja operacional desde aproximadamente novembro de 2021.
"Identificamos atividades do BlueDelta com alta probabilidade de visar um escritório de promotoria regional ucraniano e uma autoridade executiva central ucraniana, além de atividades de reconhecimento envolvendo entidades governamentais ucranianas adicionais e uma organização envolvida na atualização e reformulação da infraestrutura de aeronaves militares ucranianas", disse o Insikt Group.
"A campanha de phishing do BlueDelta analisada explora as vulnerabilidades
CVE-2020-35730
,
CVE-2020-12641
e
CVE-2021-44026
no software de webmail de código aberto Roundcube para executar vários scripts de reconhecimento e exfiltração."
Vale ressaltar que a Recorded Future diz que esta campanha se sobrepõe a ataques anteriores ligados ao APT28, quando eles exploraram uma vulnerabilidade crítica zero-day do Microsoft Outlook (
CVE-2023-23397
) para atacar organizações europeias em ataques que também não exigiam interação do usuário.
Eles usaram o bug zero-day para roubar credenciais que ajudaram a se mover lateralmente dentro das redes das vítimas e para alterar as permissões das pastas da caixa de correio do Outlook para exfiltrar e-mails para contas específicas.
Na campanha do Outlook, os hackers da GRU invadiram as redes de cerca de 15 organizações governamentais, militares, de energia e transporte entre meados de abril e dezembro de 2022.
O grupo de análise de ameaças do Google também revelou recentemente que cerca de 60% de todos os e-mails de phishing direcionados à Ucrânia no primeiro trimestre de 2023 foram enviados por atacantes russos, sendo o grupo de hackers APT28 um dos principais contribuintes para essa atividade maliciosa.
Em abril de 2023, os serviços de inteligência dos EUA e do Reino Unido alertaram sobre ataques do APT28 explorando uma falha zero-day em roteadores da Cisco para implantar um malware Jaguar Tooth que ajuda a colher informações de alvos com base nos EUA e na UE.
O APT28 também é conhecido por seu envolvimento em um ataque hacker de 2015 ao Parlamento Federal alemão (Deutscher Bundestag) e em ataques ao Comitê de Campanha Congressual Democrata (DCCC) e ao Comitê Nacional Democrata (DNC) em 2016 (pelos quais foram acusados pelos EUA dois anos depois).
O Conselho da União Europeia sancionou membros do APT28 em outubro de 2020 por seu envolvimento no hack de 2015 do Deutscher Bundestag.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...