Atores de ameaças com conexões com a Rússia foram vinculados a uma campanha de espionagem cibernética direcionada a organizações na Ásia Central, Leste da Ásia e Europa.
O Grupo Insikt da Recorded Future, que nomeou o cluster de atividades como TAG-110, afirmou que ele se sobrepõe a um grupo de ameaça rastreado pelo Computer Emergency Response Team da Ucrânia (CERT-UA) como UAC-0063, que, por sua vez, se sobrepõe ao APT28.
A equipe de hacking está ativa desde pelo menos 2021.
"Utilizando ferramentas de malware customizadas HATVIBE e CHERRYSPY, TAG-110 ataca primariamente entidades governamentais, grupos de direitos humanos e instituições educacionais," disse a empresa de cibersegurança em um relatório de quinta-feira(21).
HATVIBE funciona como um carregador para implantar CHERRYSPY, um backdoor Python usado para exfiltração de dados e espionagem.
O uso de HATVIBE e CHERRYSPY por TAG-110 foi documentado pela primeira vez pelo CERT-UA no final de maio de 2023, em conexão com um ataque cibernético direcionado a agências estatais na Ucrânia.
Ambas as famílias de malware foram novamente identificadas mais de um ano depois, em uma intrusão em uma instituição de pesquisa científica não nomeada no país.
Desde então, foram identificadas até 62 vítimas únicas em onze países, com incidentes notáveis no Tajiquistão, Quirguistão, Cazaquistão, Turcomenistão e Uzbequistão, indicando que a Ásia Central é uma área primária de foco para o ator de ameaça em uma tentativa provável de coletar inteligência que informa os objetivos geopolíticos da Rússia na região.
Um número menor de vítimas também foi detectado na Armênia, China, Hungria, Índia, Grécia e Ucrânia.
As cadeias de ataque envolvem a exploração de falhas de segurança em aplicações web de face pública (por exemplo, Rejetto HTTP File Server) e e-mails de phishing como um vetor de acesso inicial para soltar HATVIBE, um carregador de aplicativo HTML feito sob medida que serve como um conduto para implantar o backdoor CHERRYSPY para coleta e exfiltração de dados.
"Os esforços da TAG-110 fazem parte provavelmente de uma estratégia russa mais ampla para coletar inteligência sobre desenvolvimentos geopolíticos e manter influência nos estados pós-soviéticos," disse a Recorded Future.
Essas regiões são significativas para Moscou devido às relações tensas após a invasão da Ucrânia pela Rússia.
Acredita-se também que a Rússia intensificou suas operações de sabotagem em toda a infraestrutura crítica europeia após sua invasão em grande escala da Ucrânia em fevereiro de 2022, visando a Estônia, Finlândia, Letônia, Lituânia, Noruega e Polônia com o objetivo de desestabilizar os aliados da OTAN e interromper seu apoio à Ucrânia.
Essas atividades encobertas estão alinhadas com a estratégia de guerra híbrida mais ampla da Rússia, visando desestabilizar os países da OTAN, enfraquecer suas capacidades militares e tensionar as alianças políticas," disse a Recorded Future, descrevendo os esforços como "calculados e persistentes.
Como as relações entre a Rússia e o Ocidente quase certamente permanecerão tensas, é muito provável que a Rússia aumente a destrutividade e letalidade de suas operações de sabotagem sem cruzar o limiar da guerra com a OTAN, conforme discutido na doutrina Gerasimov.
Esses ataques físicos provavelmente complementarão os esforços russos no ciberespaço e no domínio das operações de influência, em linha com a doutrina de guerra híbrida da Rússia.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...