Hackers da SolarWinds lançaram novo ataque, segundo a Microsoft
Os hackers do grupo “Nobelium”, responsáveis pela invasão à SolarWinds, lançaram novo ataque, segundo post publicado no blog da Microsoft. Nesse novo episódio, os invasores tinham como alvo cerca de três mil e-mails – a maior parte, dos Estados Unidos – pertencentes a 150 organizações, indo desde agências governamentais até empresas privadas e think tanks.
Segundo o post, o ataque ocorreu durante esta semana, impactando organizações de desenvolvimento internacional, auxílio humanitário e grupos de apoio aos direitos humanos em pelo menos 24 países. O Nobelium conseguiu veicular a campanha maliciosa após obter o controle de uma conta de e-mail marketing pertencente à Agência de Desenvolvimento Internacional dos Estados Unidos (USAID).
“Esses ataques aparentam ser uma continuação de múltiplos esforços do Nobelium, que tem como alvo agências governamentais envolvidas em política externa, como parte de um trabalho de coleta de informações e inteligência”, disse a Microsoft no post.
Os hackers do Nobelium ficaram conhecidos pelo ataque à SolarWinds, uma fornecedora de software com laços com a Microsoft e diversas agências da estrutura de governo dos EUA.
Ao injetarem linhas maliciosas de código em uma ferramenta da empresa, eles conseguiram desligar o Oleoduto Colonial, um dos mais importantes dos Estados Unidos, em uma operação de ransomware – quando um hacker “trava” seus dados em troca de dinheiro pela sua liberação – geralmente, o pagamento é em criptomoedas.
Na ocasião,o FBI disse que os ataques tinham relação com “um grupo criminal hacker” vindo da Rússia. O post dos novos ataques, publicados pela Microsoft, fazem a mesma atribuição.
De acordo com a Microsoft, a campanha começou em janeiro, sendo descoberta em fevereiro. Ao longo dos meses de março e abril, os hackers aprimoraram suas técnicas até que, em 25 de maio, eles usaram a lista da USAID para disparar seu malware para os três mil contatos do mailing.
O problema é que o ataque não foi um simples caso de enviar um e-mail para todos os remetentes: cada ação foi especificamente customizada, a fim de reduzir chances de detecção e, consequentemente, impedir que as autoridades identificassem o problema de forma antecipada.
A porta-voz da USAID, Pooja Jhunjhunwala, disse à CNN que a agência estava ciente de uma “atividade maliciosa” envolvendo uma “conta de marketing comprometida” da sigla, e que uma investigação forense já estava em curso. Segundo ela, a Casa Branca e a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA também já estão cientes.
Os e-mails enviados pelos hackers pareciam “incrivelmente autênticos”, disse a Microsoft, mas traziam um link que, quando clicado, instalava um arquivo malicioso que abria um acesso escondido (backdoor) para que eles chegassem aos dados que pretendiam roubar/sequestrar.
“Essa backdoor pode permitir uma ampla gama de atividades, desde o roubo de dados até infectar outros computadores na mesma rede”, disse a Microsoft. Um dos e-mails, por exemplo, estava disfarçado como um “informe especial” contendo supostos “novos documentos” do ex-presidente dos EUA, Donald Trump, com “dados relacionados a fraude eleitoral” – um dos principais pontos de abordagem de uma parcela dos apoiadores do ex-mandatário é o de que sua derrota em novembro de 2020 se deu por eleições fraudadas.
A maior parte dos ataques dos hackers, ao contrário do que aconteceu com a SolarWinds, foi automaticamente bloqueada, e a Microsoft afirma já estar em contato com as empresas feitas de alvo do Nobelium, para confirmar que nenhuma das vulnerabilidades vieram de alguma falha em softwares da companhia liderada por Satya Nadella.
Com informações Olhar Digital
Fonte: Segurança na Tecnologia