A Microsoft descobriu que os hackers por trás do ataque à SolarWinds voltaram a agir. De acordo com a companhia, eles executaram, nesta semana, uma ação maliciosa por e-mail que visava cerca de 150 organizações de 24 países, incluindo os Estados Unidos. Entre os alvos estavam órgãos governamentais.
- Desenvolvedor Linux descobre que Apple M1 tem falha incorrigível
- Golpe engenhoso rouba WhatsApp de quem tem conta protegida por senha
Microsoft revela novo ataque do Nobelium (imagem: Darwin Laganzon/Pixabay)
Identificado como Nobelium, o grupo hacker tem ligação com o Serviço de Inteligência Estrangeiro da Rússia, afirma a Microsoft. Para executar o ataque mais recente, os invasores tiveram acesso à conta da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) no serviço de marketing online Constant Contact.
O Microsoft Threat Intelligence Center (MSTIC) explica que, a partir dessa conta, o Nobelium disparou cerca de 3 mil e-mails para algo em torno de 150 organizações diferentes na última terça-feira (25).
Pelo menos um quarto dessas entidades está envolvida em projetos de desenvolvimento internacional, trabalho humanitário e direitos humanos.
Ataques por e-mail (phishing) são uma prática antiga e todo mundo sabe que precisa ter cuidado com isso. Mas a ação do Nobelium teve um diferencial: como os e-mails foram emitidos a partir da conta da USAID no Constant Contact, parecia que as mensagens eram legítimas.
E-mail malicioso enviado pelo Nobelium (imagem: divulgação/Microsoft)
Uma análise da Microsoft aponta que um link existente nos e-mails levava para um arquivo que, quando acionado, abria um relatório em PDF para distrair o usuário e, em segundo plano, executava um DLL que instalava o NativeZone, backdoor que dá abertura para várias ações, como roubo de dados e ataques a outros computadores na mesma rede.
Microsoft bloqueou ataques
O problema não ganhou uma dimensão trágica porque os ataques foram mitigados por ferramentas de segurança. A Microsoft explica, como exemplo, que o Windows Defender consegue barrar o NativeZone.
Mas não dá para considerar este um final feliz. Ao comentar a ação, o MSTIC fez algumas observações importantes. Uma delas: o Nobelium continua usando meios legítimos para atacar. Neste o grupo se infiltrou em um serviço de disparo de e-mails, mas, no ataque à SolarWinds, os invasores distribuíram um malware infectando uma atualização de um software da empresa.
Outra: a Microsoft afirma que as ações do Nobelium continuam centradas nos interesses do governo russo, o que explica o fato de organizações humanitárias e de direitos humanos estarem no alvo do grupo.
Por fim, a companhia alerta para a necessidade de regras claras serem estabelecidas para reger ações online ligadas a governos, incluindo aí a definição de consequências se essas normas forem violadas.
Microsoft revela novo golpe em massa dos hackers da SolarWinds em 24 países
0 Commentaires