Um grupo de hackers que o governo ucraniano diz ser uma unidade de inteligência russa tentou no início deste ano comprometer uma grande empresa de refino de petróleo com sede em um membro da OTAN, novas acusações de pesquisa.
O grupo, apelidado de Gamaredon, Urso Primitivo ou UAC-0010, está ativo desde a época em que a agressão russa desencadeou o conflito contínuo na Ucrânia, em 2014 ou 2013. Uma avaliação ucraniana rastreia o grupo ao autoproclamado “Escritório de o FSB da Rússia na República da Crimeia e na cidade de Sevastopol” e diz que sua equipe inclui ex-policiais ucranianos.
Trident Ursa, como a inteligência de ameaças da Unidade 42 da Palo Alto Networks chama o agente de ameaças, é “um dos APTs mais difundidos, intrusivos, continuamente ativos e focados na Ucrânia”, disse a empresa em um relatório de terça-feira detalhando as atividades recentes do agente de ameaças.
Em conjunto com o colapso da Rússia nas relações com o Ocidente desencadeado pela invasão da Ucrânia em fevereiro, os pesquisadores da Palo Alto Networks dizem que a Gamaredon expandiu as operações para a coleta de informações sobre os aliados da OTAN. Daí a tentativa de comprometimento de uma empresa de refino de petróleo não identificada em uma nação não identificada que é membro da aliança militar. Essa ampliação de alvos se reflete na adoção do grupo de iscas de phishing em inglês, bem como em suas mensagens padrão em ucraniano, dizem os pesquisadores.
A avaliação ucraniana e o relatório de Palo Alto concordam que o grupo depende muito do phishing como vetor de malware. Ele infecta computadores persuadindo os usuários a abrir arquivos HTML anexados, clicar em um link aparentemente benigno ou abrir um documento do Word. Uma amostra de phishing com baixa taxa de detecção no VirusTotal examinada por Palo Alto descobriu que o próprio anexo do Word não continha nenhum código malicioso. Em vez disso, baixou um modelo remoto contendo uma macro que executou um código malicioso.
A dependência europeia dos combustíveis fósseis russos rapidamente emergiu como um ponto de pressão para Moscou em sua tentativa de conter o apoio ocidental à Ucrânia. Nos anos que antecederam a invasão de fevereiro, a Europa recebeu coletivamente cerca de metade de suas importações de gás da Rússia. Um esforço intensivo para diversificar o abastecimento seguiu-se à invasão, e os Estados Unidos em particular aumentaram os embarques de gás natural liquefeito.
Oleodutos submarinos conhecidos como Nord Stream 1 e 2 destinados a transportar gás natural da Rússia para a Alemanha explodiram no final de setembro em incidentes que as autoridades dinamarquesas e suecas disseram ter sido o resultado deliberado de explosivos. O governo russo rejeitou alegações “estúpidas” de que estava envolvido nas detonações, informou a Reuters.
Uma maneira de o Gamaredon permanecer resiliente diante das contramedidas é trocando rapidamente os endereços IP de seus domínios em uma técnica conhecida como DNS fast flux. Ele também tenta ofuscar seus endereços IP operacionais semeando tabelas DNS de fluxo rápido com domínios falsos e usando subdomínios para realizar ataques, diz Palo Alto. A empresa diz que a grande maioria – quase 96% – dos domínios de ataque do Gamaredon são registrados usando a empresa russa reg.ru.
O grupo ignora medidas de segurança, como bloqueio de domínio malicioso, usando a rede de mídia social Telegram Messenger para comando e controle de malware.
Fonte: BankInfo Security
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
