Letônia confirma ataque de phishing ao Ministério da Defesa, vinculando-o a grupo de hackers russo
O grupo russo de ciberespionagem conhecido como Gamaredon pode estar por trás de um ataque de phishing ao Ministério da Defesa da Letônia na semana passada, disse o ministério ao The Record na sexta-feira.
Os hackers enviaram e-mails maliciosos para vários funcionários do ministério, fingindo ser funcionários do governo ucraniano. A tentativa de ataque cibernético não teve sucesso, acrescentou o ministério.
A amostra do e-mail malicioso foi compartilhada pela primeira vez no Twitter pela empresa francesa de segurança cibernéticaSekoia.ioessa semana.
Na semana passada, o conjunto de intrusão #Gamaredon 🇷🇺 provavelmente personificou o 🇺🇦 MoD para atingir o 🇱🇻 MoD usando #spearphishing com a seguinte cadeia de infecção: HTMLSmuggling -> ZIP -> LNK -> HTA. Eles usaram o já sinalizado nome de domínio #Gamaredon admou[.]org para enviar seu e-mail.pic.twitter.com/SGQVGPtNJd— SEKOIA.IO(@sekoia_io)
A empresa o obteve do VirusTotal, um serviço de propriedade do Google que analisa arquivos suspeitos, onde um dos usuários-alvo pode tê-lo baixado para verificar seu remetente, de acordo com o pesquisador de inteligência de ameaças da Sekoia, Felix Aime.
Os pesquisadores atribuíram essa campanha de phishing ao Gamaredon porque os hackers usaram o mesmo domínio (admou[.]org) dos ataques cibernéticos anteriores, disse Aime. No início de dezembro, a empresa de segurança cibernética Unit 42 também vinculou esse domínio ao Gamaredon.
Um porta-voz do Ministério da Defesa da Letônia confirmou que o último ataque foi “provavelmente” ligado ao Gamaredon, embora a investigação ainda esteja em andamento.
De acordo com a equipe letã de resposta a emergências de computadores, CERT-LV, o ataque foi “incomum” porque os hackers russos se comunicaram com os pesquisadores nos estágios finais do ataque quando souberam que estavam sendo investigados.
Um porta-voz do CERT-LV disse ao The Record que os hackers enviaram um meme representando um urso russo segurando uma pata na Ucrânia, enquanto os EUA e a UE tentam contê-lo.
Grupos de hackers ligados ao governo russo, incluindo Gamaredon, têm como alvo organizações letãs há vários anos, mas sua atividade aumentou rapidamente desde o início da guerra na Ucrânia.
A maioria dos ataques cibernéticos de hackers pró-Rússia “não consegue nada além de publicidade”, disse Varis Teivans, vice-gerente do CERT-LV, ao The Record em uma entrevista em outubro.
A Letônia apoiou a Ucrânia desde o início da guerra, fornecendo armas, ajuda humanitária e abrigo para refugiados ucranianos.
Outros aliados ucranianos, especialmente ex-membros da União Soviética, incluindo Estônia e Lituânia, também estão relatando um aumento nos ataques cibernéticos.
O CERT da Ucrânia disse ao The Record que o Gamaredon é responsável pelo maior número de ataques cibernéticos na Ucrânia. “Não se passou uma semana sem que detectássemos alguma nova campanha de e-mail de phishing em massa com o malware Gamaredon”, disse um porta-voz do CERT-UA.
Em 2022, a Ucrânia registrou mais de 70 incidentes relacionados a esse grupo, segundo o CERT-UA.
A Ucrânia afirma que a Gamaredon opera a partir da cidade de Sevastopol, na Crimeia ocupada pela Rússia, mas age sob ordens do Centro FSB de Segurança da Informação em Moscou. O grupo iniciou suas operações em junho de 2013, poucos meses antes de a Rússia anexar à força a Península da Crimeia da Ucrânia.
As autoridades ucranianas de segurança cibernética descreveram os ataques do Gamaredon como intrusivos e audaciosos e disseram que o principal objetivo do grupo era “conduzir operações de ciberinteligência direcionadas”.
Fonte: https://therecord.media/