.
Getty Images
Um dos grupos de hackers mais ativos do Kremlin visando a Ucrânia recentemente tentou hackear uma grande empresa de refino de petróleo localizada em um país da OTAN. O ataque é um sinal de que o grupo está expandindo sua coleta de informações enquanto a invasão da Rússia ao país vizinho continua.
A tentativa de invasão ocorreu em 30 de agosto e não teve sucesso, disseram pesquisadores da Unidade 42 da Palo Alto Networks na terça-feira. O grupo de hackers – rastreado sob vários nomes, incluindo Trident Ursa, Gamaredon, UAC-0010, Primitive Bear e Shuckworm – foi atribuído pelo Serviço de Segurança da Ucrânia ao Serviço de Segurança Federal da Rússia.
De olho no setor de energia
Nos últimos 10 meses, a Unidade 42 mapeou mais de 500 novos domínios e 200 amostras e outras migalhas de pão que Trident Ursa deixou para trás em campanhas de spear phishing que tentavam infectar alvos com malware para roubo de informações. O grupo usa principalmente e-mails com iscas em língua ucraniana. Mais recentemente, no entanto, algumas amostras mostram que o grupo também começou a usar iscas em inglês.
“Avaliamos que essas amostras indicam que o Trident Ursa está tentando aumentar sua coleta de inteligência e acesso à rede contra aliados ucranianos e da OTAN”, escreveram os pesquisadores da empresa.
Entre os nomes de arquivo usados no ataque malsucedido estavam: MilitaryassistanceofUkraine.htm, Necessary_military_assistance.rar e List of needed things for the supply of militar humanitary Assistance to Ukraine.lnk.
O relatório de terça-feira não nomeou a empresa de petróleo visada ou o país onde a instalação estava localizada. Nos últimos meses, autoridades alinhadas com o Ocidente emitiram alertas de que o Kremlin está de olho em empresas de energia em países que se opõem à guerra da Rússia contra a Ucrânia.
Na semana passada, por exemplo, o diretor cibernético da Agência de Segurança Nacional, Rob Joyce, disse estar preocupado com ataques cibernéticos significativos da Rússia, especificamente no setor de energia global, de acordo com a CyberScoop.
“Eu não encorajaria ninguém a ser complacente ou despreocupado com as ameaças ao setor de energia globalmente”, disse Joyce, de acordo com a CyberScoop. “Enquanto o [Ukraine] Com o progresso da guerra, certamente há oportunidades para aumentar a pressão sobre a Rússia no nível tático, o que fará com que eles reavaliem, tentem estratégias diferentes para se libertarem”.
A análise anual da NSA observou que o russo liberou pelo menos sete tipos distintos de malware de limpeza projetados para destruir dados permanentemente. Um desses Wipers removeu milhares de modems de satélite usados por clientes da empresa de comunicações Viasat. Entre os modems danificados estavam dezenas de milhares de terminais fora da Ucrânia que suportam turbinas eólicas e fornecem serviços de Internet para cidadãos particulares.
Dez dias atrás, o primeiro-ministro da Noruega, Jonas Gahr Støre, alertou que a Rússia representa uma “ameaça real e séria… à indústria de petróleo e gás” da Europa Ocidental, enquanto o país tenta quebrar a vontade dos aliados ucranianos.
As técnicas de hacking do Trident Ursa são simples, mas eficazes. O grupo usa várias maneiras de ocultar os endereços IP e outras assinaturas de sua infraestrutura, documentos de phishing com baixas taxas de detecção entre os serviços anti-phishing e documentos HTML e Word maliciosos.
Os pesquisadores da Unidade 42 escreveram:
O Trident Ursa continua sendo um APT ágil e adaptável que não usa técnicas excessivamente sofisticadas ou complexas em suas operações. Na maioria dos casos, eles contam com ferramentas e scripts disponíveis publicamente, juntamente com uma quantidade significativa de ofuscação, bem como tentativas de phishing de rotina para executar suas operações com sucesso.
As operações desse grupo são regularmente capturadas por pesquisadores e organizações governamentais, mas eles não parecem se importar. Eles simplesmente adicionam ofuscação adicional, novos domínios e novas técnicas e tentam novamente, muitas vezes até mesmo reutilizando amostras anteriores.
Operando continuamente dessa maneira desde pelo menos 2014, sem sinais de desaceleração durante esse período de conflito, o Trident Ursa continua a ter sucesso. Por todas essas razões, eles continuam sendo uma ameaça significativa para a Ucrânia, contra a qual a Ucrânia e seus aliados precisam se defender ativamente.
O relatório de terça-feira fornece uma lista de hashes criptográficos e outros indicadores que as organizações podem usar para determinar se o Trident Ursa os alvejou. Ele também fornece sugestões de maneiras de proteger as organizações contra o grupo.
.
