Relatório revela detalhes de grupo cibercriminoso ligado ao governo da Rússia

Quando se acreditava que uma ameaça já era ruim o suficiente, surgem indícios de que ela pode vir em dobro, de forma mais forte e sorrateira. Estas são algumas das conclusões de um relatório de segurança que revelou detalhes da atuação do Cozy Bear, também conhecido como Nobelium e um dos principais grupos cibercriminosos em atividade hoje, com prováveis ligações ao governo da Rússia e envolvimento no desastroso ataque aos sistemas da SolarWinds, no ano passado.

• Empresas de TI entram na mira dos criminosos russos que atacaram a SolarWinds
• Além dos russos: hackers chineses também teriam atacado a SolarWinds

A publicação foi feita pela Mandiant, empresa especializada em segurança digital, e mostra que o grupo continua evoluindo seus vetores de ataque enquanto mantém o foco em fornecedores de cloud computing e cadeias de suprimento. A ideia é sempre a mesma, utilizar as ferramentas de ataque para, a partir destas redes, ganhar acesso aos ambientes dos clientes para roubar dados sensíveis, realizar tarefas de espionagem, implantar malware e realizar ataques de ransomware.

Entre estas operações, os pesquisadores encontraram uma nova praga, que foi batizada como Ceeloader. O malware permite a execução de códigos diretamente na memória dos dispositivos e é capaz de evadir a detecção de softwares de segurança a partir de programação inútil, tudo isso enquanto explora APIs do Windows para coletar informações e se comunicar com servidores de controle comandados pelos criminosos.

O Ceeloader também mostrou uma evolução nas práticas de ofuscamento do Cozy Bear, com o uso de redes de computadores zumbis, VPNs e redes Tor se unindo a sites com Wordpress e servidores legítimos da plataforma Azure. Os casos servem tanto como uma forma de ocultar a própria origem dos ataques e dificultar detecção quanto para escapar do monitoramento das redes, que pode deixar passar conexões próximas e com aparência de confiabilidade.

Para piorar as coisas, o relatório da Mandiant separa a atuação do Nobelium em dois centros de atividade distintos, chamados de UNC3004 e UNC2652, o que pode indicar tanto uma variação do bando em seus atos quanto a existência de grupos separados de criminosos agindo juntos. Em ambos os casos, entretanto, o foco parecem ser mais as informações que interessam ao governo da Rússia do que o ganho financeiro.

Além do ataque à SolarWinds, o Cozy Bear estaria envolvido em operações contra centros de desenvolvimento e distribuição de vacinas, além de golpes direcionados a órgãos oficiais do governo dos Estados Unidos. Enquanto agências de inteligência americanas e da Europa apontam a relação com o governo russo, o Kremlin nega qualquer envolvimento com os cibercriminosos.

Raiz da exploração

O levantamento da Mandiant também traz alguns estudos de caso sobre ataques realizados pelo Cozy Bear, que podem servir como alerta para os vetores e sistemas preferidos. Em um caso analisado pelos especialistas, uma conta de VPN com credenciais comprometidas foi usada em um reconhecimento completo da rede de uma vítima, levando à exposição de mais perfis e também domínios internos, que permitiram acesso aos dados de interesse aos bandidos.

Em outro caso, foi utilizado um malware focado em roubo de senhas, o CryptBot, para obter as credenciais e tokens de acesso aos sistemas Microsoft 365 de uma vítima, também abrindo as portas para a visualização de documentos e dados internos. Em ambos os casos, o foco sempre esteve em obter múltiplos vetores de acesso, usados de forma individual e em atividades distintas, de forma que a descoberta de um não comprometa os outros e, acima disso, a operação em andamento.

A Mandiant fala do Cozy Bear como um dos atores de ameaça mais resilientes e poderosos que já enfrentou, mas com operações que possuem falhas e padrões que podem ser identificados e usados em operações de defesa. Por outro lado, o momento é de atenção, principalmente, quanto à capacidade de adaptação rápida das ferramentas, bem mais veloz do que updates de desenvolvedores e medidas de segurança.

O relatório também traz recomendações de segurança para redes e infraestruturas internas, além de indicadores de comprometimento como IPs usados, sistemas de VPN e técnicas utilizadas para escapar de monitoramento.

Fonte: Mandiant