Alerta da indústria aponta ameaça cibernética Russa
Os suspeitos de serem hackers russos estão por trás de várias invasões recentes de redes de computadores locais e estaduais dos EUA, de acordo com uma análise do setor obtida pela CyberScoop.
O grupo responsável é conhecido como TEMP.Isotope, de acordo com um comunicado privado distribuído pela Mandiant, o braço de resposta a incidentes da empresa de segurança FireEye. O alerta observa que o mesmo grupo também foi descrito como Energetic Bear, que várias empresas de segurança vincularam à Rússia.
O FBI e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos divulgaram em 9 de outubro uma campanha de hackers na qual os invasores violaram alguns “sistemas de apoio a eleições” ou infraestrutura de TI que funcionários estaduais e locais usam para uma série de funções. Esses sistemas não estão envolvidos na contagem de votos, e a assessoria de funcionários dos EUA observou que não havia evidências de que a “integridade dos dados eleitorais foi comprometida”.
O consultor federal não culpou nenhum grupo de hackers em particular pela atividade, dizendo apenas que a campanha foi obra de atores de ameaças persistentes avançadas (APT) ou atacantes ligados a um ou mais governos estrangeiros. Não ficou claro se quaisquer outros grupos APT, de outros países, foram implicados no aviso.
No entanto, os endereços IP usados no hackeamento foram empregados anteriormente pelo grupo TEMP.Isotope, de acordo com Mandiant. Os hackers exploraram uma vulnerabilidade recentemente revelada em um protocolo que a Microsoft usa para autenticar seus usuários. A CISA em 18 de setembro ordenou que todas as agências civis federais atualizassem seu software para corrigir a falha devido ao risco que ela carregava.
O aparente esforço russo para violar redes estaduais e locais tão próximas às eleições nos Estados Unidos fez com que autoridades federais e especialistas do setor privado se concentrassem em investigar e remediar a questão. Autoridades eleitorais receberam informações adicionais sobre a ameaça como parte de um briefing classificado regular na sexta-feira, de acordo com um porta-voz da CISA.
De ampla varredura a explorações de software
O motivo específico da recente atividade TEMP.Isotope não é claro. Os hackers não parecem estar alvejando redes estaduais e locais “por causa de sua proximidade com informações eleitorais”, disseram autoridades americanas em seu comunicado.
A atividade descrita pelo consultor federal começou com uma ampla varredura de sistemas vulneráveis em redes federais, estaduais e locais, bem como infraestrutura crítica no setor privado, disse o porta-voz da CISA na segunda-feira.
“Uma vez que os sistemas vulneráveis são identificados, os atores tentam comprometer os sistemas usando uma combinação de técnicas”, continua a declaração da CISA. “Embora estejamos cientes de casos limitados em que esses esforços resultaram em acesso não autorizado a sistemas de TI usados por funcionários eleitorais, não temos nenhuma evidência ou razão para acreditar que dados relacionados às eleições, como informações de registro de eleitores, máquinas de votação ou sistemas de tabulação, foram afetado. ”
O conselho de Mandiant não mencionou o governo russo.
A própria FireEye descreveu o TEMP.Isotope como um “ator russo” e vinculou o grupo diretamente a um consultor dos EUA de 2018 que culpou o governo russo pelos ataques cibernéticos.
Um porta-voz da FireEye se recusou a comentar o comunicado.
Um grupo com histórico
TEMP.Isotope é talvez mais conhecido por suas campanhas agressivas para se infiltrar em empresas de energia nos EUA e na Europa. Os supostos hackers russos anteriormente se envolveram em um esforço de anos para violar empresas de energia dos EUA, de acordo com a consultoria do governo dos EUA e especialistas em segurança cibernética do setor privado mencionados anteriormente.
As ciberdefesas das redes estaduais e locais melhoraram há quatro anos, quando outro conjunto de hackers russos, supostamente operando em nome da agência de inteligência militar GRU, investigou sistemas de TI em todo o país e comprometeu o banco de dados de registro eleitoral de Illinois.
Um porta-voz da Embaixada Russa em Washington, DC, não respondeu a um pedido de comentário sobre o conselho do Mandiant. A Rússia rejeitou repetidamente as alegações de que conduz ataques cibernéticos.
Fonte: https://www.cyberscoop.com/russia-temp-isotope-election-security-mandiant/
