Pesquisadores da empresa de segurança da internet Symantec afirmaram na segunda-feira (31) ter identificado táticas específicas usadas durante uma ação de hackers financiados pela Rússia contra o governo da Ucrânia em novembro do ano passado. A equipe publicou uma postagem em seu blog institucional, detalhando como os cibercriminosos usaram arquivos maliciosos do Microsoft Word em meados de 2021 para invadir sistemas. As informações são do portal Cyberscoop.
O ataque foi de responsabilidade do grupo de ciberespionagem conhecido como Gamaredonou Armageddon, ativo desde 2013 e famoso por usar e-mails de phishing com uso de backdoors, tipos específicos de vírus que permitem o acesso ao sistema infectado e seu controle remoto com o objetivo de extrair dados das vítimas.
Os especialistas da Symantec não entraram em detalhes sobre quem teria sido o alvo principal da ofensiva virtual. O objetivo do estudo, de acordo com eles, foi identificar táticas, técnicas e procedimentos (método conhecido na tecnologia da informação como TTP) usados na operação, conhecimento que pode vir a ser útil na hipótese de o conflito entre Rússia e Ucrânia ser levado às últimas consequências nas próximas semanas.
O estudo de caso da empresa de cibersegurança rastreou uma infecção datada de julho de 2021, que instalou em um computador em Kiev um backdoor conhecido como Pterodo. Depois, os invasores continuaram “instalando variantes de seu backdoor e executando comandos por meio de scripts para garantir a persistência”, explicaram os pesquisadores. Duas semanas depois, o Gamaredon instalou um “conta-gotas” que baixava um arquivo de computação em rede virtual (VNC), que parecia ser “a carga útil final para este ataque”, explica a Symantec.
O arquivo VNC (protocolo de internet que permite a visualização de interfaces gráficas remotas através de uma conexão segura) permitiu à organização cibercriminosa vasculhar a máquina infectada e extrair informações que “vão de descrições de cargos a informações confidenciais pertencentes à organização visada”, detalhou a equipe.
Desde que as tensões entre a Kiev e a Moscou se amplificaram no final de 2021, o Serviço de Segurança da Ucrânia (SBU) trabalhou na elaboração de um relatório que associa o Gamaredon à FSB (Agência Nacional de Segurança, da sigla em inglês), onde alega ter reunido evidências como gravações dos hackers discutindo ataques em tempo real.
Relatórios recentes sobre o suposto assédio cibercriminoso bancado pelo Kremlin contra Kiev ainda incluem desfigurações de sites do governo ucraniano e malware que limpou dezenas de sistemas governamentais.
A mais recente edição do relatório anual de segurança digital publicado pela Microsoft, que cobre o período entre julho de 2020 e junho de 2021, indica que a Rússia é a nação que mais patrocina ataques hackers no mundo, seguida de longe pela Coreia do Norte.
“O cenário de ataques cibernéticos está se tornando cada vez mais sofisticado à medida em que os criminosos cibernéticos mantêm – e até mesmo intensificam – sua atividade em tempos de crise”, diz o relatório. “O crime cibernético, patrocinado ou permitido pelo Estado, é uma ameaça à segurança nacional. Ataques ransomware são cada vez mais bem-sucedidos, incapacitando governos e empresas, e os lucros com esses ataques estão aumentando”.
Os números colhidos no período mostram que o grupo Nobelium, acusado de ser patrocinado pelo Kremlin, é o mais ativo no mundos, responsável por 59% das ações hackers atreladas a governos. Em segundo lugar aparece o grupo Thallium, da Coreia do Norte, com 16%. O terceiro grupo mais ativo é o iraniano Phosphorus, com 9%.
Entre os setores mais atingidos, o governamental surge em destaque, sendo o alvo dos hackers em 48% dos casos apurados. Em segundo, com 31%, aparecem ONGs e think tanks. Já as nações mais visadas são os Estados Unidos, com 46%, a Ucrânia, com 19%, e o Reino Unido, com 9%.
© 2024 Blog da Luciana Pombo é do Grupo Ventura Comunicação & Marketing Digital
Ajude financeiramente a mantermos nosso Portal independente. Doe qualquer quantia por PIX: 42.872.330/0001-17
