Hackers russos estão aproveitando os serviços de armazenamento de dados em nuvem, como DropBox e Google Drive, para disseminar malware em empresas e governos, de acordo com uma nova pesquisa da Unit 42 da Palo Alto Networks. O grupo Cloaked Ursula — também conhecido como APT29 ou Cozy Bear, ligado ao governo russo — está usando cada vez mais serviços populares de armazenamento online porque dificulta a detecção e prevenção de ataques, segundo os pesquisadores da Unit 42.
Acredita-se que o grupo teve como alvo várias missões diplomáticas ocidentais e embaixadas estrangeiras entre maio e junho deste ano, pois as recentes campanhas foram mascaradas como uma agenda para uma próxima reunião com um embaixador. Mas os documentos de phishing continham um link para um arquivo HTML malicioso que servia como um dropper para arquivos maliciosos adicionais na rede de destino, incluindo uma carga útil do Cobalt Strike.
A Palo Alto Networks divulgou a atividade ao Google e ao DropBox, que tomaram medidas para bloqueá-la. No entanto, os pesquisadores da Unit 42 alertaram organizações e governos para estarem em alerta máximo. “À luz das novas táticas do APT 29, as organizações devem se preocupar com suas habilidades de identificar, inspecionar e interromper o tráfego indesejado para provedores legítimos de armazenamento em nuvem.”
Veja isso
Rússia é acusada de ataques para roubar pesquisas da covid-19
Alerta dos EUA aponta 5 vulnerabilidades mais exploradas pela Rússia
O Cozy Bear já usou serviços de nuvem legítimos para distribuir malware, mas as duas campanhas mais recentes aproveitaram os serviços de armazenamento em nuvem do Google Drive pela primeira vez. “A natureza onipresente dos serviços de armazenamento em nuvem do Google Drive, combinada com a confiança que milhões de clientes em todo o mundo têm neles, torna sua inclusão no processo de entrega de malware do APT excepcionalmente preocupante”, disseram os pesquisadores. “Quando o uso de serviços de nuvem confiáveis é combinado com criptografia, torna-se extremamente difícil para as organizações detectar atividades maliciosas”, alertaram.
O ataque “não é surpreendente”, já que serviços como esses são usados por um grande número de organizações. Respondendo às descobertas das Palo Alto, um porta-voz do Dropbox disse à Infosecurity que “podemos confirmar que trabalhamos com nossos parceiros do setor e pesquisadores sobre esse assunto e desativamos as contas de usuários imediatamente. Se detectarmos qualquer usuário violando nossos termos de serviço, tomamos as medidas apropriadas , que pode incluir suspender ou desabilitar contas de usuários”.