Por Redação O Sul | 28 de maio de 2021
A Microsoft descobriu que os hackers por trás do ataque à SolarWinds voltaram a agir. De acordo com a companhia, eles executaram, nesta semana, uma ação maliciosa por e-mail que visava cerca de 150 organizações de 24 países, incluindo os Estados Unidos. Entre os alvos estavam órgãos governamentais.
Identificado como Nobelium, o grupo hacker tem ligação com o Serviço de Inteligência Estrangeiro da Rússia, afirma a Microsoft. Para executar o ataque mais recente, os invasores tiveram acesso à conta da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) no serviço de marketing online Constant Contact.
O Microsoft Threat Intelligence Center (MSTIC) explica que, a partir dessa conta, o Nobelium disparou cerca de 3 mil e-mails para algo em torno de 150 organizações diferentes na última terça-feira (25).
Pelo menos um quarto dessas entidades está envolvida em projetos de desenvolvimento internacional, trabalho humanitário e direitos humanos.
Ataques por e-mail (phishing) são uma prática antiga e todo mundo sabe que precisa ter cuidado com isso. Mas a ação do Nobelium teve um diferencial: como os e-mails foram emitidos a partir da conta da USAID no Constant Contact, parecia que as mensagens eram legítimas.
Uma análise da Microsoft aponta que um link existente nos e-mails levava para um arquivo que, quando acionado, abria um relatório em PDF para distrair o usuário e, em segundo plano, executava um DLL que instalava o NativeZone, backdoor que dá abertura para várias ações, como roubo de dados e ataques a outros computadores na mesma rede.
Microsoft bloqueou ataques
O problema não ganhou uma dimensão trágica porque os ataques foram mitigados por ferramentas de segurança. A Microsoft explica, como exemplo, que o Windows Defender consegue barrar o NativeZone.
Mas não dá para considerar este um final feliz. Ao comentar a ação, o MSTIC fez algumas observações importantes. Uma delas: o Nobelium continua usando meios legítimos para atacar. Neste o grupo se infiltrou em um serviço de disparo de e-mails, mas, no ataque à SolarWinds, os invasores distribuíram um malware infectando uma atualização de um software da empresa.
Outra: a Microsoft afirma que as ações do Nobelium continuam centradas nos interesses do governo russo, o que explica o fato de organizações humanitárias e de direitos humanos estarem no alvo do grupo.
Por fim, a companhia alerta para a necessidade de regras claras serem estabelecidas para reger ações online ligadas a governos, incluindo aí a definição de consequências se essas normas forem violadas. As informações são do site Tecnoblog.
