O grupo de ameaça persistente avançada (APT) alinhado à Rússia, conhecido como Winter Vivern, foi detectado realizando campanhas de espionagem visando organizações governamentais e operadoras de telecomunicações.
Pesquisadores de segurança da SentinelOne compartilharam detalhes sobre a nova campanha em um comunicado publicado na quinta-feira, 16. A atividade APT foi identificada pela primeira vez pelo DomainTools no início de 2021 e depois descrita pelo Lab52 meses depois.
“O grupo evitou a divulgação pública desde então, até ataques recentes direcionados à Ucrânia”, escreveu o pesquisador de ameaças Tom Hegel no comunicado da SentinelOne. “Uma parte da campanha do Winter Vivern foi relatada nas últimas semanas pelo CBZC polonês e, em seguida, pelo CERT da Ucrânia como UAC-0114.”
Segundo Hegel, a atividade do Winter Vivern se alinha com os objetivos e interesses globais dos governos bielorrusso e russo. “Campanhas recentes revelam que o Winter Vivern tem como alvo agências governamentais polonesas, o Ministério das Relações Exteriores da Ucrânia, o Ministério das Relações Exteriores da Itália e membros do governo indiano”, diz o comunicado. “De particular interesse é o direcionamento da APT a empresas privadas, incluindo operadoras de telecomunicações, que apoiam a Ucrânia na guerra em andamento.”
Além disso, Hegel explicou que o grupo Winter Vivern usou táticas personalizadas para a organizações-alvo, visando aumentar a probabilidade de sucesso por meio de phishing e implantação de documentos maliciosos. “As táticas do Winter Vivern incluíram o uso de documentos maliciosos, muitas vezes elaborados a partir de documentos governamentais autênticos disponíveis publicamente ou adaptados a temas específicos”, escreveu o pesquisador da SentinelOne. “Mais recentemente, o grupo utilizou uma nova técnica de atração que envolve a imitação de domínios do governo para distribuir downloads maliciosos.”
Veja isso
Hackers pró-Rússia usam guerra para recrutar hacktivistas
Polônia alega ser alvo de ataques cibernéticos de hackers pró-Rússia
Devido a essa capacidade de atrair alvos para os ataques, a equipe do SentinelOne acredita que o APT é uma “força formidável” no domínio cibernético. “Sua capacidade de atrair alvos para os ataques e seu direcionamento a governos e empresas privadas de alto valor demonstram o nível de sofisticação e intenção estratégica em suas operações”, escreveu Hegel.
O comunicado da SentinelOne vem dias depois que especialistas em segurança observaram como as táticas cibernéticas da Rússia na Ucrânia foram observadas mudando o foco para espionagem.