Hackers russos muito ativos: Fancy Bear ataca fornecedores de armas ucranianos
Fancy Bear é infame. O coletivo invadiu a infraestrutura de TI do Bundestag alemão em 2015.
(Foto: picture alliance / Klaus Ohlenschläger)
Os fabricantes de armas soviéticas fora da Rússia são a espinha dorsal da defesa ucraniana. Mas essas empresas na Bulgária, Romênia e na própria Ucrânia são aparentemente presas fáceis para o Fancy Bear, uma notória equipe de hackers do Kremlin.
O famoso grupo de hackers russo Fancy Bear tem como alvo empresas de armas que fornecem armas para a Ucrânia. Este é o resultado de um estudo recente da empresa de segurança alemã Eset, de Jena. Posteriormente, os ataques foram direcionados principalmente contra fabricantes de tecnologia de armas soviética na Bulgária, Romênia e Ucrânia, que desempenharam um papel fundamental na defesa contra a invasão russa. Fábricas de armamentos na África e na América do Sul também foram afetadas.
O grupo de hackers Fancy Bear também é conhecido como Sednit ou APT28. Ela também é apontada como responsável pelos ataques ao Bundestag alemão em 2015, à política americana Hillary Clinton um ano depois e à sede do partido SPD em 2023. Segundo especialistas, o grupo faz parte de uma estratégia maior dos serviços de inteligência russos para usar ataques cibernéticos como meio de influência política e desestabilização. Além da espionagem, o foco também está em campanhas de desinformação direcionadas contra democracias ocidentais.
Na atual campanha de espionagem chamada "Operação RoundPress", hackers exploraram vulnerabilidades em softwares de webmail populares, incluindo Roundcube, Zimbra, Horde e MDaemon. Várias vulnerabilidades poderiam ter sido eliminadas com uma boa manutenção de software. Em um caso, no entanto, as empresas afetadas ficaram quase impotentes porque os invasores conseguiram explorar uma vulnerabilidade de segurança até então desconhecida no MDaemon que não pôde ser fechada inicialmente.
De acordo com pesquisadores da Eset, os ataques geralmente eram lançados com e-mails manipulados disfarçados de notícias. Os remetentes parecem ser fontes confiáveis, como o Kyiv Post ou o portal de notícias búlgaro News.bg. Assim que o e-mail é aberto no navegador, um código malicioso oculto é iniciado. Os filtros de spam foram ignorados com sucesso.
Os especialistas de Jena conseguiram identificar o malware "SpyPress.MDAEMON" ao analisar os ataques. O programa hacker não é capaz apenas de ler dados de acesso e rastrear e-mails. Poderia até mesmo ignorar a autenticação de dois fatores. A autenticação de dois fatores (2FA, abreviação) é uma medida de segurança adicional ao fazer login em contas on-line ou acessar dados confidenciais. Ela garante que não apenas uma senha seja suficiente para obter acesso, mas que uma segunda prova também seja necessária. No entanto, os hackers do Fancy Bear conseguiram contornar a proteção 2FA em vários casos e obter acesso permanente às caixas de correio usando as chamadas senhas de aplicativo.
"Muitas empresas usam servidores de webmail desatualizados", disse o pesquisador da Eset Matthieu Faou. "Apenas exibir um e-mail em um navegador pode ser suficiente para executar um código malicioso sem que o destinatário clique ativamente em nada."
Fonte: ntv.de, jog/dpa
n-tv.de
