Hackers do grupo APT28, ligado à divisão de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU), usaram explorações de dia zero do Microsoft Outlook para atingir vários países europeus membros da Otan, incluindo o Corpo de Implantação Rápida (NRDC, na sigla em inglês) da aliança militar do Ocidente.
Pesquisadores da Unit 42 da Palo Alto Networks observaram a exploração da vulnerabilidade CVE-2023-23397 ao longo de 20 meses em três campanhas contra ao menos 30 organizações em 14 nações consideradas de importantes em inteligência estratégica para os militares e o governo da Rússia.
Os hackers russos também são rastreados como Fighting Ursa, Fancy Bear e Sofacy, e são ligados à GRU, o serviço de inteligência militar do país. Eles começaram a usar a falha de segurança do Outlook como um dia zero em março do ano passado, três semanas depois de a Rússia invadir a Ucrânia, para atacar o serviço de migração da Ucrânia.
Entre meados de abril e dezembro de 2022, eles invadiram as redes de cerca de 15 organizações governamentais, militares, de energia e de transporte na Europa para roubar e-mails potencialmente contendo inteligência militar para apoiar a invasão da Ucrânia pela Rússia.
Embora a Microsoft tenha corrigido o dia zero um ano depois, em março deste ano, os operadores do APT28 continuaram usando as explorações CVE-2023-23397 para roubar credenciais que lhes permitiam se mover lateralmente através de redes comprometidas. A superfície de ataque aumentou ainda mais em maio, quando um bypass (CVE-2023-29324) que afetava todas as versões do Outlook veio à tona.
Hoje, a Unit 42 disse que todos os países identificados são membros da Otan, exceto a Ucrânia. Ao menos uma missão da NRDC — força de prontidão capaz de ser destacada rapidamente para uma missão da Otan — também foi visado, sem mencionar qual. Além das agências europeias de defesa, relações exteriores e assuntos Internos, o foco do APT28 se estendeu a organizações de infraestrutura crítica envolvidas na produção e distribuição de energia, operações de infraestrutura de dutos e manuseio de materiais, pessoal e transporte aéreo.
“Usar uma exploração de dia zero contra um alvo indica que ele tem valor significativo. Também sugere que o acesso e a inteligência existentes naquele alvo eram insuficientes na época”, disse a Unit 42.
Em outubro, a agência francesa de segurança cibernética (ANSSI) divulgou que hackers russos usaram a falha de segurança do Outlook para atacar órgãos governamentais, corporações, instituições de ensino, centros de pesquisa e think tanks em toda a França.
Veja isso
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Dia zero no Roundcube é usado para hackear governos na Europa
Nesta semana, o Reino Unido e aliados que fazem parte da aliança de inteligência Five Eyes também apontaram a unidade do Serviço Federal de Segurança (FSB), o Centro 18 da Rússia, como responsável pelas operações de espionagem cibernética. A espionagem, segundo a inteligência britânica, foi realizada pelo grupo Callisto, também conhecido como Star Blizzard e Seaborgium.
Os analistas de ameaças da Microsoft frustraram os ataques do Callisto direcionados a vários países europeus membros da Otan, desabilitando contas da Microsoft usadas pelos operadores de ameaças para vigilância e coleta de e-mails.
O governo dos EUA agora oferece uma recompensa de US$ 10 milhões por informações sobre os membros de Calisto e suas atividades.
Para ter acesso ao relatório da Unit 42, em inglês, clique aqui.
