Hackers militares russos atacam a Otan usando bugs no Outlook

Da Redação
11/12/2023

Hackers do grupo APT28, ligado à  divisão de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU), usaram explorações de dia zero do Microsoft Outlook para atingir vários países europeus membros da Otan, incluindo o Corpo de Implantação Rápida (NRDC, na sigla em inglês) da aliança militar do Ocidente.

Pesquisadores da Unit 42 da Palo Alto Networks observaram a exploração da vulnerabilidade CVE-2023-23397 ao longo de 20 meses em três campanhas contra ao menos 30 organizações em 14 nações consideradas de importantes em inteligência estratégica para os militares e o governo da Rússia.

Os hackers russos também são rastreados como Fighting Ursa, Fancy Bear e Sofacy, e são ligados à GRU, o serviço de inteligência militar do país. Eles começaram a usar a falha de segurança do Outlook como um dia zero em março do ano passado, três semanas depois de a Rússia invadir a Ucrânia, para atacar o serviço de migração da Ucrânia.

Entre meados de abril e dezembro de 2022, eles invadiram as redes de cerca de 15 organizações governamentais, militares, de energia e de transporte na Europa para roubar e-mails potencialmente contendo inteligência militar para apoiar a invasão da Ucrânia pela Rússia.

Embora a Microsoft tenha corrigido o dia zero um ano depois, em março deste ano, os operadores do APT28 continuaram usando as explorações CVE-2023-23397 para roubar credenciais que lhes permitiam se mover lateralmente através de redes comprometidas. A superfície de ataque aumentou ainda mais em maio, quando um bypass (CVE-2023-29324) que afetava todas as versões do Outlook veio à tona.

Hoje, a Unit 42 disse que todos os países identificados são membros da Otan, exceto a Ucrânia. Ao menos uma missão da NRDC — força de prontidão capaz de ser destacada rapidamente para uma missão da Otan — também foi visado, sem mencionar qual. Além das agências europeias de defesa, relações exteriores e assuntos Internos, o foco do APT28 se estendeu a organizações de infraestrutura crítica envolvidas na produção e distribuição de energia, operações de infraestrutura de dutos e manuseio de materiais, pessoal e transporte aéreo.

“Usar uma exploração de dia zero contra um alvo indica que ele tem valor significativo. Também sugere que o acesso e a inteligência existentes naquele alvo eram insuficientes na época”, disse a Unit 42. 

Em outubro, a agência francesa de segurança cibernética (ANSSI) divulgou que hackers russos usaram a falha de segurança do Outlook para atacar órgãos governamentais, corporações, instituições de ensino, centros de pesquisa e think tanks em toda a França.

Veja isso
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Dia zero no Roundcube é usado para hackear governos na Europa

Nesta semana, o Reino Unido e aliados que fazem parte da aliança de inteligência Five Eyes também apontaram a unidade do Serviço Federal de Segurança (FSB), o Centro 18 da Rússia, como responsável pelas operações de espionagem cibernética. A espionagem, segundo a inteligência britânica, foi realizada pelo grupo Callisto, também conhecido como Star Blizzard e Seaborgium.

Os analistas de ameaças da Microsoft frustraram os ataques do Callisto direcionados a vários países europeus membros da Otan, desabilitando contas da Microsoft usadas pelos operadores de ameaças para vigilância e coleta de e-mails.

O governo dos EUA agora oferece uma recompensa de US$ 10 milhões por informações sobre os membros de Calisto e suas atividades.

Para ter acesso ao relatório da Unit 42, em inglês, clique aqui.

Compartilhar: