O Google e a União Europeia emitiram avisos separados esta semana sobre ataques cibernéticos russos e campanhas de desinformação.
Segundo o Google, muitos grupos russos têm se concentrado na Ucrânia desde o início da guerra, mas o nível de atividade russa fora da Ucrânia é praticamente o mesmo de antes do início do conflito.
A gigante da internet monitora a atividade russa e interrompeu algumas campanhas. A empresa notou recentemente que o agente da ameaça rastreado como Turla, que foi vinculado ao serviço de segurança FSB da Rússia, começou a distribuir um malware para Android.
O Google diz que esta é a primeira vez que o Turla foi visto usando malware para Android. Em abril, pesquisadores do Lab52 relataram ter encontrado um novo malware Android que usou a infraestrutura vinculada ao Turla, mas não puderam atribuí-lo ao grupo.
O aplicativo Android distribuído recentemente pela Turla foi hospedado em um domínio que falsifica o Regimento Azov ucraniano. O aplicativo alegou permitir que os usuários lançassem ataques de negação de serviço (DoS) contra sites russos, mas, na realidade, ele enviou apenas uma única solicitação ao site de destino.
Acredita-se que o aplicativo, que teve apenas um número “minúsculo” de instalações, tenha sido inspirado por um aplicativo Android criado por desenvolvedores pró-Ucrânia que lançaram ataques DoS contra sites russos.
O Google também viu pelo menos dois grupos de ameaças patrocinados pelo estado russo – APT28 e Sandworm – explorando a vulnerabilidade do Windows recentemente divulgada, rastreada como Follina. Os cibercriminosos com fins lucrativos também exploram o Follina, pois o número de ataques contra a Ucrânia aumentou.
A empresa também observou campanhas de desinformação conduzidas pelo grupo Ghostwriter (UNC1151), ligado à Bielorrússia, bem como ataques de phishing lançados pelo grupo Coldriver (Calisto) contra funcionários do governo e de defesa, políticos, ONGs, think tanks e jornalistas.
A União Europeia alertou os Estados membros sobre um aumento significativo de atividades cibernéticas maliciosas desde que a Rússia iniciou sua invasão da Ucrânia. Em comunicado, o Conselho da UE destacou os ataques de janeiro a sites e sistemas ucranianos, o ataque contra a rede KA-SAT da Viasat e os ataques DDoS lançados por hackers pró-Rússia contra estados membros (Noruega e Lituânia).
“A agressão militar não provocada e injustificada da Rússia contra a Ucrânia foi acompanhada por um aumento significativo de atividades cibernéticas maliciosas, inclusive por um número impressionante e preocupante de hackers e grupos de hackers visando indiscriminadamente entidades essenciais globalmente”, disse o Conselho da UE. “Esse aumento de atividades cibernéticas maliciosas, no contexto da guerra contra a Ucrânia, cria riscos inaceitáveis de efeitos colaterais, má interpretação e possível escalada”.
A empresa de segurança cibernética Palo Alto Networks também analisou alguns ataques que se acredita terem sido conduzidos por agentes de ameaças russos. A empresa observou uma campanha da Cloaked Ursa (APT29, Nobelium e Cozy Bear) que parece ter como alvo várias missões diplomáticas ocidentais entre maio e junho de 2022, incluindo embaixadas estrangeiras em Portugal e no Brasil.
Nesta campanha, os invasores aproveitaram serviços populares de armazenamento online, como Google Drive e Dropbox, para evitar a detecção.
Fonte: SecurityWeek
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
