.
Um novo relatório sobre a tripulação cibernética ofensiva do Nobelium, publicado pela equipe francesa de resposta a emergências informáticas (CERT-FR), destaca os últimos truques do grupo enquanto o país se prepara para uma grande eleição e para sediar os Jogos Olímpicos e Paraolímpicos deste ano.
A maioria dos seguranças da informação conhecerá o Nobelium/Midnight Blizzard como os criminosos ligados à inteligência russa (SVR) responsáveis pelo grande ataque à cadeia de abastecimento da SolarWinds em 2021, mas o CERT-FR acredita que a partilha de informações sobre as últimas explorações pode reprimir a ameaça da gangue à segurança nacional em os próximos meses.
A atividade do Nobelium também está muitas vezes ligada ao apelido APT29, mas a agência francesa de segurança cibernética (ANSSI) acredita que o Nobelium é na verdade um conjunto de intrusão distinto. Diz que o verdadeiro APT29 esteve ativo entre 2008-2019 e foi responsável pelo ataque ao DMC dos EUA, enquanto Dark Halo foi o grupo que executou a violação da SolarWinds. Para a ANSSI, o Nobelium é uma entidade separada mas, tal como as outras duas, está ligada ao serviço de inteligência russo. A ANSSI diz que foi criada em outubro de 2020.
Tem como alvo diplomatas, funcionários de ministérios
Os investigadores dizem que o seu foco principal é a espionagem, e afirmam que muitas vezes tem como alvo as contas de e-mail do pessoal diplomático, das suas instituições, embaixadas e consulados, utilizando e-mails de phishing enviados de instituições estrangeiras que já foram previamente comprometidas pelo Nobelium.
O relatório do CERT-FR afirma que o setor público francês foi atacado várias vezes pelo grupo usando este estilo de ataque de comprometimento de e-mail comercial (BEC).
Por exemplo, “várias entidades, incluindo o Ministério dos Negócios Estrangeiros francês” foram alvo de ataques nos meses de Fevereiro-Maio de 2021, o que levou à tentativa de implantação do Cobalt Strike, presumivelmente para permitir o acesso remoto. Não teve sucesso, mas foi apenas uma das muitas tentativas sérias de violar e recolher informações do governo francês.
No ano seguinte, o Nobelium tentou novamente enganar o Ministério dos Negócios Estrangeiros francês, visando dezenas de endereços de e-mail com e-mails de phishing temáticos em torno do encerramento de uma embaixada ucraniana ou de um encontro com um embaixador português.
Em maio de 2023, a embaixada francesa foi uma das muitas embaixadas na Ucrânia alvo do Nobelium – o grupo usou iscas com o tema da venda de um carro diplomático. A sua embaixada na Roménia também foi alvo, sem sucesso, no mesmo mês.
“ANSSI e [national partners (C4)] os membros consideram que a imputação destas atividades contra entidades diplomáticas francesas ao Nobelium é consistente”, o relatório [PDF] lê.
“As ferramentas e infra-estruturas utilizadas pelos atacantes mostram semelhanças com outras campanhas ligadas ao Nobelium. As vítimas destas actividades que visam exfiltrar inteligência estratégica são consistentes com os ataques habituais associados ao Nobelium por outros observadores. As capacidades implementadas para comprometer um número tão vasto das contas de e-mail, a persistência dos ataques, os esforços envidados na falsificação de documentos de engodo indicam que o Nobelium é quase certamente operado em nome de um ator estatal.”
Embora o relatório não tenha sido especificamente ligado ao aumento da detecção de agressões russas contra o governo francês à medida que o período eleitoral se aproxima, é pouco provável que o momento da sua publicação seja uma mera coincidência.
O CERT-FR conclui que o Nobelium representa uma ameaça genuína tanto para a segurança nacional como para os interesses diplomáticos da França e da Europa em geral.
Apesar de não ter realizado um grande ataque ao governo francês e ao seu território desde 2022, pelo menos de acordo com o cronograma fornecido pelo CERT-FR, há uma clara preocupação com os russos e com o que poderão estar a incubar nas próximas semanas.
Não há fumaça sem fogo
A França tem algumas boas razões para suspeitar de uma pequena interferência russa num futuro próximo. Além dos vários ataques às suas instituições, ainda este ano o ministro dos Assuntos Europeus, Jean-Noel Barrot, disse que a Rússia era responsável por uma campanha de desinformação para minar o presidente Emmanuel Macron.
Seguidores próximos da atualidade francesa se lembrarão da histeria em torno do susto assustador e rastejante relacionado a uma suposta infestação de percevejos em Paris no ano passado.
Barrot disse que o governo acredita que os bots russos das redes sociais amplificaram deliberadamente as mensagens negativas em torno do incidente e tentaram atribuir tudo à chegada de refugiados ucranianos à capital francesa.
Voltando às últimas eleições presidenciais em França, Macron foi novamente o principal alvo dos esforços de desinformação da Rússia depois de a inteligência russa ter violado o computador do presidente, vazando um tesouro de documentos – preenchidos com alguns falsos para ajudar nas mensagens – numa tentativa de alimentar a divisão em francês. sociedade.
Os chamados Macron Leaks foram um fracasso, no entanto, e a Rússia não foi capaz de alcançar qualquer sucesso comparável ao que foi alegadamente visto com o referendo do Brexit. [PDF] e a vitória eleitoral de Donald Trump em 2016.
“As eleições presidenciais francesas de 2017 continuam a ser a mais clara tentativa fracassada de uma entidade estrangeira de influenciar um processo eleitoral nos últimos anos”, escreveram Heather A Conley e Jean-Baptiste Jeangène Vilmer para o Centro de Estudos Estratégicos e Internacionais (CSIS).
“Apontando para o candidato presidencial Emmanuel Macron, a interferência russa não conseguiu interferir nas eleições nem antagonizar a sociedade francesa.”
No sector privado, a Microsoft recentemente destacou os esforços contínuos da Rússia para espalhar desinformação em torno dos próximos Jogos Olímpicos e Paraolímpicos, dos quais os seus atletas estão proibidos.
Tem utilizado tecnologia deepfake, juntamente com a habitual promoção de notícias falsas para espalhar propaganda anti-Ucrânia e alegações sobre a suposta indiferença de Macron relativamente às lutas socioeconómicas de França, por exemplo.
Os ataques seguem campanhas semelhantes visando os Jogos Olímpicos de Verão e de Inverno nos últimos anos. A Rússia, afirmaram os pesquisadores, tentou enquadrar a Coreia do Norte pelos ataques de malware a seus vizinhos mais amigáveis do sul, quando esse país sediou os Jogos de Inverno de 2018, por exemplo, e também, mais recentemente, os Jogos de Tóquio em 2020. ®
.
