Czechia e Alemanha revelaram na sexta-feira que foram alvo de uma campanha de ciberespionagem de longo prazo conduzida pelo ator de ameaças cibernéticas ligado à Rússia conhecido como APT28, gerando condenação da União Europeia (UE), da Organização do Tratado do Atlântico Norte (OTAN), do Reino Unido e dos EUA.
O Ministério das Relações Exteriores da República Tcheca, em comunicado, disse que algumas entidades não reveladas no país foram atacadas usando uma falha de segurança no Microsoft Outlook que veio à tona no início do ano passado.
“Ataques cibernéticos direcionados a entidades políticas, instituições estatais e infraestrutura crítica representam não apenas uma ameaça à segurança nacional, mas também interrompem os processos democráticos nos quais nossa sociedade livre se baseia,” disse o Ministério.
A vulnerabilidade de segurança em questão é a CVE-2023-23397, uma falha crítica de elevação de privilégios no Outlook que foi corrigida e que poderia permitir a um adversário acessar hashes Net-NTLMv2 e usá-los para se autenticar por meio de um ataque de relay.
O Governo Federal da Alemanha atribuiu o ator de ameaças a um ataque cibernético direcionado ao Comitê Executivo do Partido Social Democrata, usando a mesma vulnerabilidade do Outlook por um “período relativamente longo”, permitindo “comprometer inúmeras contas de e-mail”.
Alguns dos setores da indústria alvejados como parte da campanha incluem logística, armamentos, a indústria aérea e espacial, serviços de TI, fundações e associações localizados na Alemanha, Ucrânia e Europa, com o Governo Federal também implicando o grupo no ataque ao parlamento federal alemão em 2015.
APT28, avaliado como ligado à Unidade Militar 26165 da agência de inteligência militar da Rússia GRU, também é rastreado pela comunidade mais ampla de cibersegurança sob os nomes BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy e TA422.
No mês passado, a Microsoft atribuiu o grupo de hackers à exploração de um componente Microsoft Windows Print Spooler (CVE-2022-38028, pontuação CVSS: 7.8) como zero-day para fornecer um malware personalizado chamado GooseEgg para infiltrar organizações governamentais e não-governamentais do governo ucraniano, europeu ocidental e norte-americano, educação e setor de transporte.
A OTAN disse que as ações híbridas da Rússia “constituem uma ameaça à segurança dos Aliados.” O Conselho da União Europeia também se pronunciou, declarando que a “maliciosa campanha cibernética mostra o padrão contínuo de comportamento irresponsável da Rússia no ciberespaço.”
“Atividades recentes do grupo cibernético GRU russo APT28, incluindo o direcionamento do executivo do Partido Social Democrata alemão, é o mais recente de um padrão conhecido de comportamento dos Serviços de Inteligência Russos para minar processos democráticos em todo o mundo,” disse o governo do Reino Unido.
O Departamento de Estado dos EUA descreveu a APT28 como conhecida por se envolver em um “comportamento malicioso, nocivo, desestabilizador e disruptivo” e que está comprometido com a “segurança de nossos aliados e parceiros e com a manutenção da ordem internacional baseada em regras, inclusive no ciberespaço.”
Anteriormente, neste mês de fevereiro, uma ação coordenada da aplicação da lei interrompeu uma botnet composta por centenas de roteadores de pequenos escritórios e escritórios domésticos nos EUA e Alemanha que se acredita que os atores da APT28 tenham usado para ocultar suas atividades maliciosas, que incluíram a exploração da CVE-2023-23397 contra alvos de interesse.
De acordo com um relatório da empresa de cibersegurança Trend Micro nesta semana, a botnet de proxy criminal de terceiros remonta a 2016 e consiste em mais do que apenas roteadores da Ubiquiti, englobando outros roteadores baseados em Linux, dispositivos Raspberry Pi e servidores virtuais privados (VPS).
“A ameaça por trás da botnet moveu alguns dos bots do EdgeRouter do servidor C&C que foi derrubado em 26 de janeiro de 2024, para uma infraestrutura de C&C recém-criada em fevereiro de 2024,” disse a empresa, acrescentando que restrições legais e desafios técnicos impediram uma limpeza completa de todos os roteadores capturados.
A atividade cibernética patrocinada pelo estado russo – roubo de dados, ataques destrutivos, campanhas DDoS e operações de influência – também é esperada representar um risco grave para as eleições em regiões como EUA, Reino Unido e UE, de múltiplos grupos como APT28, APT29, APT44 (também conhecido como Sandworm), COLDRIVER e KillNet, de acordo com uma avaliação divulgada pela subsidiária do Google Cloud, Mandiant, na semana passada.
“Em 2016, o APT28 ligado ao GRU comprometeu alvos de organizações do Partido Democrata dos EUA, bem como a conta pessoal do presidente da campanha do candidato presidencial democrata e orquestrou uma campanha de vazamento antes das eleições presidenciais dos EUA em 2016,” disseram os pesquisadores Kelli Vanderlee e Jamie Collier.
Além disso, dados da Cloudflare e da NETSCOUT mostram um aumento nos ataques DDoS direcionados à Suécia após sua adesão à aliança da OTAN, espelhando o padrão observado durante a adesão da Finlândia à OTAN em 2023.
“Os prováveis culpados desses ataques incluíram os grupos de hackers NoName057, Anonymous Sudan, Russian Cyber Army Team e KillNet,” disse a NETSCOUT. “Todos esses grupos têm motivações políticas, apoiando ideais russos.”
Um relatório divulgado pela Agência da União Europeia para a Cibersegurança (ENISA) em dezembro de 2023 afirmou que os ataques DDoS são cada vez mais impulsionados por motivações de guerra e geopolíticas, afirmando que o cenário atual de ameaças DoS é influenciado em grande parte pelo surgimento de conflitos armados recentes ao redor do mundo, permitindo que os atores ameaçadores escolham alvos sem repercussões.
Os desenvolvimentos ocorrem à medida que agências governamentais do Canadá, Reino Unido e Estados Unidos divulgaram um novo folheto conjunto para ajudar a proteger organizações de infraestrutura crítica de ataques continuados lançados por hacktivistas pró-Rússia contra sistemas de controle industrial (ICS) e sistemas de tecnologia operacional (OT) em pequena escala desde 2022.
“A atividade hacktivista pró-Rússia parece ser principalmente limitada a técnicas não sofisticadas que manipulam equipamentos ICS para criar efeitos de incômodo,” disseram as agências. “No entanto, investigações identificaram que esses atores são capazes de técnicas que representam ameaças físicas contra ambientes OT inseguros e mal configurados.”
Os alvos desses ataques incluem organizações nos setores de infraestrutura crítica da América do Norte e da Europa, incluindo sistemas de água e esgoto, barragens, setores de energia e alimentos e agricultura.
Os grupos hacktivistas foram observados ganhando acesso remoto explorando conexões voltadas para a internet expostas publicamente, bem como senhas padrão de fábrica associadas às interfaces homem-máquina (HMIs) comuns nesses ambientes, seguido pela alteração de parâmetros críticos para a missão, desligamento de mecanismos de alarme e bloqueio de operadores mudando senhas administrativas.
Recomendações para mitigar a ameaça incluem o fortalecimento das interfaces homem-máquina, limitar a exposição de sistemas OT à internet, utilizar senhas fortes e únicas e implementar autenticação multifatorial para todo o acesso à rede OT.
“Esses hacktivistas buscam comprometer os sistemas de controle industrial (ICS) modulares e expostos à internet por meio de seus componentes de software, como interfaces homem-máquina (HMIs), explorando o software de acesso remoto por computação virtual (VNC) e senhas padrão,” disse o alerta.
