A corrida mundial para o desenvolvimento de uma vacina para a covid-9 enfrenta agora no meio do caminho um outro tipo de vírus: o cibernético. Nesta quinta-feira, 16, o Centro Nacional de Cibersegurança do Reino Unido (NCSC, na sigla em inglês) publicou relatório sobre os ataques classificados como ameaça persistente avançada (APT29) realizados supostamente pelo grupo de hackers russos CozyBear, que se acredita estar associado aos serviços de inteligência do governo russo.
Segundo o comunicado, o ataque afetou organizações envolvidas na pesquisa de vacinas contra a covid-19 no Canadá, Reino Unido e Estados Unidos. Na nota, o diretor de operações do NCSC, Paul Chichester, condenou os ataques, chamando-os de “desprezíveis” e trabalhando contra aqueles que fazem um trabalho vital para combater a pandemia de coronavírus.
“Trabalhando com nossos aliados, o NCSC está comprometido em proteger nossos ativos mais críticos e, neste momento, nossa principal prioridade é proteger o setor de saúde”, disse Chichester. “Instaríamos as organizações a se familiarizarem com os conselhos que publicamos para ajudar a defender suas redes.
Veja isso
Rússia tem arma de ataque em massa à IoT, acusam hackers
Grupo russo altera tática e ataca e-mail corporativo
O APT29 geralmente realiza uma varredura generalizada para tentar obter credenciais de autenticação para acessar sistemas. “Em ataques recentes direcionados à pesquisa e desenvolvimento de vacinas contra a covid -19, o grupo realizou uma varredura básica de vulnerabilidades em relação a endereços IP externos específicos pertencentes às organizações”, informou o NCSC. “O grupo então implantou explorações públicas contra os serviços vulneráveis identificados.”
O comunicado do NCSC diz que o grupo usa uma variedade de ferramentas e técnicas, incluindo spear-phishing e malware personalizado conhecido como ‘WellMess’ e ‘WellMail’. O WellMess é um malware leve, projetado para executar comandos arbitrários do shell (interpretador de comandos), carregar e baixar arquivos. O malware suporta os protocolos de comunicação HTTP, de segurança TLS e sistema DNS.
O WellMail é uma ferramenta leve projetada para executar comandos ou scripts com os resultados enviados para um servidor de comando e controle (C2) codificado. Semelhante ao WellMess, o WellMail usa certificados TLS codificados de cliente e autoridade de certificação para se comunicar com servidores C2.
A equipe do NCSC teve apoio nas investigações do Canadian Communication Security Establishment (CSE), do Departamento de Segurança Interna dos EUA (DHS), da Agência de Segurança de Infraestrutura de Segurança Cibernética (CISA) e da Agência de Segurança Nacional (NSA) dos EUA.
Na avaliação de Bill Conner, presidente e CEO da SonicWall, o objetivo dos cibercriminosos é roubar a propriedade intelectual e conquistar vantagens comerciais com isso. “Este último objetivo nunca foi mais aparente do que agora, em um momento em que a Rússia está disputando o domínio [no desenvolvimento de uma vacina]. A vacina contra o coronavírus, urgentemente desejada por todos os países, pode conceder uma vantagem significativa [ao país].” Com agências de notícias internacionais.