EUA e Reino Unido acusam Rússia de ciberataques a infraestruturas de nuvem

EUA e Reino Unido acusam Rússia de ciberataques a infraestruturas de nuvem

Por Felipe Gugelmin | Editado por Claudio Yuge | 01 de Julho de 2021 às 22h10
mashable

Agências de segurança dos Estados Unidos e do Reino Unido voltaram a acusar a Rússia de ser a responsável por ataques contra áreas sensíveis de sua infraestrutura. Nesta quinta-feira (1), o FBI e a NSI atribuíram a unidades militares cibernéticas russas o lançamento de ofensivas de força bruta de larga escala contra sistemas de nuvem usados por empresas e agências governamentais ao redor do mundo.

Os ataques denunciados estão ligados a um grupo de cibercriminosos identificado como APT28, ou Fancy Bear. O relatório também é assinado pela US Cybersecurity and Infrastructure Security Agency (CISA) e pelo Cyber Security Centre (NCSC) do Reino Unido; e afirma que as ofensivas começaram na metade de 2019 e continuam sendo realizados até agora.

Imagem: Captura de Tela/Canaltech

As agências de inteligência afirmam que a unidade militar 26165 do 85º Centro de Serviços Especiais (GTsSS) da Diretoria de Inteligência do Estado-Maior Russo (GRU) criou um cluster de Kubernetes para realizar tentativas de acesso baseados no uso de força bruta. Entre seus principais alvos estão os serviços de nuvem oferecidos pelo Microsoft Office 365, entre outros de e-mail.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Um cluster de Kubernetes é um conjunto de nós que executa aplicativos em contêineres com pacotes de tarefas mais leves e flexíveis que máquinas virtuais, permitindo desenvolvimento e gerenciamento mais fáceis e remotos, de qualquer lugar, sem o uso específico de um sistema operacional, em vários ambientes digitais.

Segundo o relatório, o Fancy Bear usa máquinas comprometidas para ganhar acesso interno a servidores de e-mail. A partir disso, eles realizam movimentações laterais para tomar controle completo de redes e, usando credenciais válidas roubadas, criam backdoors que garantem a eles acesso permanente.

Grupo tentava disfarçar seus ataques

Os ataques do grupo permaneciam fora do radar por serem disfarçados através da rede TOR e por serviços de VPN como CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark e WorldVPN. Os cibercriminosos também usavam protocolos como HTTP(S), IMAP(S), POP3 e NTLM para variar seus métodos de ataque e ajudar a despistar possíveis investigações. Os ataques de força bruta também eram espaçados de forma a dificultar a detecção de um padrão único.

Imagem: Captura de Tela/Canaltech

“Esta longa campanha de força bruta para coletar e exfiltrar dados, credenciais de acesso e muito mais provavelmente está em andamento em escala global”, alerta Rob Joyce, Diretor de Segurança Cibernética da NSA. “Os defensores de redes devem usar autenticação multifator e as atenuações adicionais para combater essa atividade”, complementou.

Em um documento público, as agências divulgaram alguns dos endereços de IP usados pelo Fancy Bear em seus ataques para que organizações possam se proteger. Entre os principais alvos estavam organizações governamentais e militares, empresas que fornecem soluções de defesa, companhias de energia, escritórios de advocacia, grupos de mídia e instituições de ensino superior.

Fonte: The Media

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.