A Unidade de Crimes Digitais (DCU, na sigla em inglês) da Microsoft assumiu o controle de 42 sites que o grupo de hackers chinês Nickel usava para atacar organizações nos Estados Unidos e ao redor do mundo, de acordo com um relatório publicado no blog da empresa. A Microsoft diz que os ataques provavelmente foram realizados para coletar informações de agências governamentais, grupos de pesquisa e grupos de direitos humanos.
Um Tribunal Distrital dos Estados Unidos para os distritos de Maryland e Virgínia deu permissão à Microsoft para assumir o controle dos sites abrangidos em 2 de dezembro, conforme descrito no documento do tribunal (PDF), que permitiiu que a empresa redirecionasse o tráfego desses sites para os seus servidores. Embora isso não impeça completamente os ataques do Nickel, a Microsoft diz que deve ajudar a “proteger as vítimas atuais e futuras enquanto aprende mais sobre as atividades do Nickel”.
Logo após a ação do DCU que bloqueou o níquel, o Google anunciou um processo contra dois cidadãos russos que se acredita serem responsáveis pela operação da botnet Glupteba. A botnet foi usada supostamente para infectar 1 milhão de dispositivos Windows. Ao mesmo tempo, o CyberCrime Investigation Group e o Threat Analysis Group do Google disseram que se uniram para excluir “cerca de 63 milhões de Google Docs que distribuíram o Glupteba, 1.183 contas do Google, 908 projetos em nuvem e 870 contas do Google Ads associadas à distribuição”.
Na reclamação inicial, a Microsoft diz que o Nickel usa uma “variedade de técnicas” para instalar malware nos computadores das vítimas, incluindo comprometimento de redes privadas virtuais de terceiros e spear phishing. Devido à natureza dos ataques, o grupo é capaz de exfiltrar informações confidenciais do dispositivo sem o conhecimento do usuário.
Veja isso
Proteção ao supply chain une Microsoft, Intel e Goldman Sachs
Microsoft descobre enorme phishing-as-a-service
“Durante a infecção do computador da vítima, o Nickel implanta malware projetado para fazer alterações nos níveis mais profundos e sensíveis do sistema operacional Windows do computador”, diz a reclamação da Microsoft. “As consequências dessas mudanças são que a versão do Windows do usuário é essencialmente adulterada e, desconhecida do usuário, foi convertida em uma ferramenta para roubar credenciais e informações confidenciais do usuário.”
A Microsoft diz que está rastreando o níquel desde 2016, observando que o grupo também é conhecido como APT15, KE3CHANG, Vixen Panda, Royal APT e Playful Dragon. O níquel tem como alvo organizações diplomáticas e ministérios de relações exteriores em todo o mundo, incluindo países da América do Norte, América do Sul, América Central, Caribe, Europa e África. Também atinge alvos que se alinham com os “interesses geopolíticos” da China.
Com os 24 processos que abriu até agora, a Microsoft diz que o DCU fechou um total de mais de 10 mil sites comprometidos e bloqueou o registro de 600 mil sites potencialmente maliciosos.Em julho, os EUA — junto com várias outras nações — culparam o governo chinês pelo ataque ao Microsoft Exchange que comprometeu os e-mails de mais de 30 mil organizações nos EUA. Desde então, o Google e a Microsoft se comprometeram a ajudar o governo dos Estados Unidos a fortalecer sua segurança cibernética.