Os ataques do grupo de hackers Fancy Bear, apoiado pela Rússia, usaram uma exploração do Outlook para comprometer as contas de várias autoridades alemãs, segundo informou a ministra das Relações Exteriores alemã, Annalena Baerbock, em entrevista coletiva à imprensa internacional. “Em outras palavras, foi um ataque cibernético russo patrocinado pelo Estado à Alemanha, e isso é absolutamente intolerável e inaceitável e terá consequências.”
De acordo com autoridades alemãs, a Rússia esteve envolvida numa campanha de espionagem cibernética de meses de duração contra a Alemanha no ano passado, que envolveu políticos e o setor de defesa. Elas dizem ter evidências de que os ataques foram conduzidos pelo operador de ameaças apoiado pela Rússia, Fancy Bear.
Também identificado como APT28, o Fancy Bear é um grupo de hackers patrocinado pelo Estado ligado ao Departamento Central de Inteligência (GRU, na sigla em inglês) do Estado-Maior das Forças Armadas da Rússia, que, segundo autoridades alemãs, teve como alvo a infraestruturas do país em resposta à ajuda militar à Ucrânia.
Na declaração oficial, a Alemanha afirmou que os ataques nessa campanha foram em grande parte ineficazes. De acordo com o Ministério do Interior alemão, a campanha começou em março de 2022, dias após a invasão russa à Ucrânia, visando e-mails na sede do Partido Social Democrata, bem como nas áreas de logística, defesa, aeroespacial e setores de TI explorando uma vulnerabilidade no Microsoft Outlook. Ainda de acordo com autoridades, os ataques no âmbito da campanha remontam ao momento em que a Alemanha estava decidida a enviar tanques de guerra Leopold 2 para a Ucrânia, após o seu apelo por uma frota de 300 tanques da Europa.
O bug agora corrigido, rastreado como CVE-2023-23397, era uma falha de segurança no Outlook que permitia que alguém enviasse um e-mail incluindo um lembrete personalizado que também poderia ser especificado como um caminho de URL no e-mail. Isso permitiu que um criminoso elaborasse cuidadosamente um e-mail com o caminho personalizado definido para um servidor SMB remoto.
Veja isso
Otan e UE acusam Rússia de crimes cibernéticos e sabotagem
Hackers ligados à Rússia usam bugs do Roundcube para ataques
O grupo Fancy Bear também estaria por trás de várias campanhas de ataque em massa que exploraram falhas conhecidas no Outlook e no WinRAR para coletar hashes de credenciais NTLM do Windows de organizações na Europa e na América do Norte. “A República Tcheca é alvo há muito tempo do APT28. Tais violações violam as normas da ONU sobre comportamento responsável do Estado”, afirmou um comunicado do Ministério das Relações Exteriores da República Tcheca.
Uma série de esforços internacionais recentes liderados pelo FBI vem sendo realizados que culminaram no desligamento de uma botnet de dispositivos de rede comprometidos no final de janeiro, que se acredita terem sido usados pela Fancy Bear no seu esquema de espionagem cibernética. Com agências de notícias internacionais.
