Atores de ameaças com conexões com a Rússia foram vinculados a uma campanha de espionagem cibernética direcionada a organizações na Ásia Central, Leste da Ásia e Europa.
O Grupo Insikt da Recorded Future, que nomeou o cluster de atividades como TAG-110, afirmou que ele se sobrepõe a um grupo de ameaça rastreado pelo Computer Emergency Response Team da Ucrânia (CERT-UA) como UAC-0063, que, por sua vez, se sobrepõe ao APT28.
A equipe de hacking está ativa desde pelo menos 2021.
"Utilizando ferramentas de malware customizadas HATVIBE e CHERRYSPY, TAG-110 ataca primariamente entidades governamentais, grupos de direitos humanos e instituições educacionais," disse a empresa de cibersegurança em um relatório de quinta-feira(21).
HATVIBE funciona como um carregador para implantar CHERRYSPY, um backdoor Python usado para exfiltração de dados e espionagem.
O uso de HATVIBE e CHERRYSPY por TAG-110 foi documentado pela primeira vez pelo CERT-UA no final de maio de 2023, em conexão com um ataque cibernético direcionado a agências estatais na Ucrânia.
Ambas as famílias de malware foram novamente identificadas mais de um ano depois, em uma intrusão em uma instituição de pesquisa científica não nomeada no país.
Desde então, foram identificadas até 62 vítimas únicas em onze países, com incidentes notáveis no Tajiquistão, Quirguistão, Cazaquistão, Turcomenistão e Uzbequistão, indicando que a Ásia Central é uma área primária de foco para o ator de ameaça em uma tentativa provável de coletar inteligência que informa os objetivos geopolíticos da Rússia na região.
Um número menor de vítimas também foi detectado na Armênia, China, Hungria, Índia, Grécia e Ucrânia.
As cadeias de ataque envolvem a exploração de falhas de segurança em aplicações web de face pública (por exemplo, Rejetto HTTP File Server) e e-mails de phishing como um vetor de acesso inicial para soltar HATVIBE, um carregador de aplicativo HTML feito sob medida que serve como um conduto para implantar o backdoor CHERRYSPY para coleta e exfiltração de dados.
"Os esforços da TAG-110 fazem parte provavelmente de uma estratégia russa mais ampla para coletar inteligência sobre desenvolvimentos geopolíticos e manter influência nos estados pós-soviéticos," disse a Recorded Future.
Essas regiões são significativas para Moscou devido às relações tensas após a invasão da Ucrânia pela Rússia.
Acredita-se também que a Rússia intensificou suas operações de sabotagem em toda a infraestrutura crítica europeia após sua invasão em grande escala da Ucrânia em fevereiro de 2022, visando a Estônia, Finlândia, Letônia, Lituânia, Noruega e Polônia com o objetivo de desestabilizar os aliados da OTAN e interromper seu apoio à Ucrânia.
Essas atividades encobertas estão alinhadas com a estratégia de guerra híbrida mais ampla da Rússia, visando desestabilizar os países da OTAN, enfraquecer suas capacidades militares e tensionar as alianças políticas," disse a Recorded Future, descrevendo os esforços como "calculados e persistentes.
Como as relações entre a Rússia e o Ocidente quase certamente permanecerão tensas, é muito provável que a Rússia aumente a destrutividade e letalidade de suas operações de sabotagem sem cruzar o limiar da guerra com a OTAN, conforme discutido na doutrina Gerasimov.
Esses ataques físicos provavelmente complementarão os esforços russos no ciberespaço e no domínio das operações de influência, em linha com a doutrina de guerra híbrida da Rússia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...