Mais uma vez, o APT28 é vinculado aos esforços de interferência eleitoral dos EUA

O grupo de ameaça ligado à Rússia APT28 ganhou muito reconhecimento por suas atividades de espionagem cibernética durante as eleições de 2016 nos EUA.

O grupo é amplamente considerado responsável por atingir o Comitê Nacional Democrata . Agora, o grupo ainda está em outra missão de espionagem, desta vez visando principalmente organizações relacionadas com as próximas eleições presidenciais em novembro.

O que o APT28 está fazendo?

O APT28 foi encontrado visando a oferta de nuvem da Microsoft com um novo conjunto de táticas de ataque, diferente do que era usado anteriormente.

  • O grupo de ameaças tem feito uma campanha para colher credenciais de contas do Microsoft Office 365 de organizações relacionadas a eleições nos EUA e no Reino Unido desde abril.
  • O grupo tentou atingir 6.912 contas pertencentes a 28 organizações, por meio de ataques de força bruta e espalhamento de senha.

Como o ataque se desenrolou

Durante esses ataques, o APT28 foi observado usando um novo mecanismo para manter suas atividades anônimas.

  • Ele está roteando suas tentativas de autenticação por meio de um enorme pool de cerca de 1.100 endereços IP exclusivos, que estão principalmente associados ao serviço de anonimato Tor.
  • Esse pool ativo de endereços IP é muito dinâmico, em que aproximadamente 20 endereços IP são alternados diariamente para manter o anonimato.
  • Uma organização vítima típica é alvo de 4 a 300 tentativas de autenticação por hora para força bruta de senhas, todas com endereços IP exclusivos.

Descobrindo novas ameaças de malware

Em meados de agosto de 2020, o APT28 foi observado implantando um novo malware baseado em Linux, chamado Drovorub , como parte de suas operações de ciberespionagem.Em maio, as autoridades alemãs emitiram um mandado de prisão contra Dmitriy Sergeyevich Badin , um cidadão russo de 29 anos, por seu envolvimento no hack do Bundestag de 2015, quando ele fazia parte do grupo APT28. Acredita-se que Badin mora em Moscou e ainda está foragido.

Em essência

Olhando para as tentativas de ataque e melhorias contínuas em suas táticas, pode-se antecipar que o APT28 não vai parar suas atividades de espionagem até que as eleições terminem. Assim, torna-se ainda mais importante para todas as organizações direta ou indiretamente associadas estarem cientes dos métodos mais recentes usados ​​para atividades de espionagem e tomar todas as medidas de segurança possíveis para permanecerem seguras.

Fonte: https://cyware.com/news/once-again-apt28-gets-linked-to-us-election-interference-efforts-8e6d143b