Tcheca e Alemanha revelaram na sexta-feira que foram alvo de uma campanha de espionagem cibernética de longo prazo realizada pelo ator de estado-nação ligado à Rússia conhecido como APT28, o que levou à condenação da União Europeia (UE), da Organização do Tratado do Atlântico Norte (OTAN), do Reino Unido e dos EUA.
O Ministério das Relações Exteriores da República Tcheca, em comunicado, disse que algumas entidades não nomeadas do país foram atacadas usando uma falha de segurança no Microsoft Outlook que veio à tona no início do ano passado.
“Os ataques cibernéticos contra entidades políticas, instituições estatais e infraestrutura crítica não são apenas uma ameaça à segurança nacional, mas também perturbam os processos democráticos nos quais nossa sociedade livre se baseia”, disse o Ministério.
A falha de segurança em questão é CVE-2023-23397, uma falha crítica de escalonamento de privilégios no Outlook que foi corrigida e permitiria que um adversário acessasse hashes Net-NTLMv2 e os utilizasse para se autenticar por meio de um ataque de relay.
O Governo Federal da Alemanha vinculou o ator de ameaça a um ciberataque direcionado ao Comitê Executivo do Partido Social-Democrata usando a mesma vulnerabilidade do Outlook por um “período relativamente longo”, permitindo “comprometer numerosas contas de e-mail”.
Alguns dos setores da indústria visados como parte da campanha incluem logística, armamentos, indústria aeroespacial, serviços de TI, fundações e associações localizadas na Alemanha, Ucrânia e Europa, com o Governo Federal também implicando o grupo no ataque ao parlamento federal alemão em 2015.
APT28, avaliado como vinculado à Unidade Militar 26165 da agência de inteligência militar da Federação Russa GRU, também é rastreado pela ampla comunidade de cibersegurança sob os nomes BlueDelta, Fancy Bear, Forest Blizzard (antigamente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy e TA422.
No mês passado, a Microsoft atribuiu o grupo de hackers à exploração de um componente do Microsoft Windows Print Spooler (CVE-2022-38028, pontuação CVSS: 7.8) como uma zero-day para fornecer um malware personalizado chamado GooseEgg a organizações governamentais, não governamentais, educacionais e do setor de transporte da Ucrânia, Europa Ocidental e América do Norte.
A OTAN disse que as ações híbridas da Rússia “constituem uma ameaça à segurança aliada”. O Conselho da União Europeia também se manifestou, afirmando que a “maliciosa campanha cibernética mostra o contínuo padrão de comportamento irresponsável da Rússia no ciberespaço”.
“Atividades recentes do grupo cibernético APT28 da GRU russa, incluindo o direcionamento do executivo do Partido Social-Democrata da Alemanha, são as ações mais recentes em um padrão conhecido de comportamento pelos Serviços de Inteligência Russos para minar os processos democráticos em todo o mundo”, afirmou o governo do Reino Unido.
O Departamento de Estado dos EUA descreveu o APT28 como conhecido por se envolver em um comportamento “malicioso, nefasto, desestabilizador e perturbador” e se comprometeu com a “segurança de nossos aliados e parceiros e em manter a ordem internacional baseada em regras, inclusive no ciberespaço”.
No início de fevereiro, uma ação coordenada por aplicação da lei perturbou uma botnet composta por centenas de roteadores de pequenos escritórios e escritórios domésticos (SOHO) nos EUA e Alemanha que se acredita terem sido usados pelos membros do APT28 para ocultar suas atividades maliciosas, que, entre outras coisas, incluiam a exploração de CVE-2023-23397 contra alvos de interesse.
De acordo com um relatório da empresa de cibersegurança Trend Micro desta semana, o botnet criminal de proxy de terceiros remonta a 2016 e consiste em mais do que apenas roteadores da Ubiquiti, abrangendo outros roteadores baseados em Linux, dispositivos Raspberry Pi e servidores privados virtuais (VPS).
“O ator de ameaça [por trás do botnet] conseguiu transferir alguns dos bots EdgeRouter do servidor C&C que foi derrubado em 26 de janeiro de 2024 para uma infraestrutura C&C recém-estabelecida no início de fevereiro de 2024”, disse a empresa, acrescentando que restrições legais e desafios técnicos impediram uma limpeza completa de todos os roteadores envolvidos.
Atividade de ameaça cibernética patrocinada pelo estado russo – roubo de dados, ataques destrutivos, campanhas de DDoS e operações de influência – também é esperada representar um risco grave para eleições em regiões como os EUA, Reino Unido e UE de múltiplos grupos como APT28, APT29, APT44 (também conhecido como Sandworm), COLDRIVER e KillNet, segundo uma avaliação divulgada pela subsidiária da Google Cloud, Mandiant, na semana passada.
“Em 2016, o APT28 vinculado à GRU comprometeu alvos de organizações do Partido Democrata dos EUA, bem como a conta pessoal do chefe da campanha presidencial do candidato democrata e orquestrou uma campanha de vazamento antes da eleição presidencial dos EUA em 2016”, disseram os pesquisadores.
Além disso, dados da Cloudflare e NETSCOUT mostram um aumento nos ataques de DDoS direcionados à Suécia após sua adesão à aliança da OTAN, refletindo o padrão observado durante a adesão da Finlândia à OTAN em 2023.
“Os prováveis culpados desses ataques incluíram os grupos de hackers NoName057, Anonymous Sudan, Equipe do Exército Cibernético Russo e KillNet”, disse a NETSCOUT. “Todos esses grupos são motivados politicamente, apoiando ideais russos.”
Um relatório divulgado pela Agência da União Europeia para a Cibersegurança (ENISA) em dezembro de 2023 afirmou que os ataques de DDoS são cada vez mais impulsionados pela guerra e motivos geopolíticos, afirmando que o cenário atual de ameaças de DoS é influenciado em grande medida pelo surgimento de conflitos armados recentes ao redor do mundo, permitindo que atores de ameaças escolham alvos sem nenhuma repercussão.
Os desenvolvimentos ocorrem enquanto agências governamentais do Canadá, Reino Unido e EUA lançaram uma nova folha de dados conjunta para ajudar a garantir que organizações de infraestrutura crítica se protejam contra ataques contínuos lançados por hacktivistas pró-Rússia contra sistemas de controle industrial (ICS) e sistemas de tecnologia operacional em pequena escala (OT) desde 2022.
“A atividade de hacktivistas pró-Rússia parece ser principalmente limitada a técnicas não sofisticadas que manipulam equipamentos ICS para criar efeitos de incômodo”, disseram as agências. “No entanto, as investigações identificaram que esses atores são capazes de técnicas que representam ameaças físicas contra ambientes OT inseguros e mal configurados.”
Os alvos desses ataques incluem organizações nos setores de infraestrutura crítica da América do Norte e Europa, incluindo sistemas de água e esgoto, represas, energia, e setores alimentícios e agrícolas.
Os grupos hacktivistas foram observados ganhando acesso remoto explorando conexões de internet publicamente expostas, bem como senhas padrão de fábrica associadas a interfaces máquina-humano (HMIs) prevalentes nesses ambientes, seguido por interferências em parâmetros críticos para missão, desativas mecanismos de alarme e bloqueiam operadores alterando senhas administrativas.
As recomendações para reduzir a ameaça incluem o fortalecimento das interfaces homem-máquina, limitar a exposição dos sistemas OT à internet, usar senhas fortes e únicas, e implementar autenticação multifator para todo o acesso à rede OT.
“Esses hacktivistas procuram comprometer sistemas de controle industrial (ICS) modulares, expostos à internet, por meio de seus componentes de software, como interfaces máquina-humano (HMIs), explorando o software de acesso remoto VNC e senhas padrão”, disse o alerta.
