Na última década, a unidade mais agressiva do Kremlin, conhecida como Sandworm, concentrou suas campanhas de hackers em atormentar a Ucrânia, ainda mais desde o presidente russo Vladimir Putin, a invasão em grande escala do vizinho da Rússia. Agora, a Microsoft está alertando que uma equipe dentro desse notório grupo de hackers mudou sua segmentação, trabalhando indiscriminadamente para violar redes em todo o mundo-e, no último ano, pareceu mostrar um interesse particular nas redes nos países ocidentais de língua inglesa.
Na quarta -feira, a equipe de inteligência de ameaças da Microsoft publicou novas pesquisas em um grupo da Sandworm que os analistas da empresa estão chamando de badpilot. A Microsoft descreve a equipe como uma “operação de acesso inicial” focada em violar e ganhar uma posição nas redes de vítimas antes de entregar esse acesso a outros hackers da maior organização de sanduormes, que os pesquisadores de segurança identificar . Após as violações iniciais do badpilot, outros hackers de sanduestões usaram suas invasões para se mover dentro das redes de vítimas e realizar efeitos como roubar informações ou lançar ataques cibernéticos, diz Microsoft.
A Microsoft descreve o badpilot como iniciando um alto volume de tentativas de intrusão, lançando uma rede ampla e depois classificando os resultados para se concentrar em vítimas específicas. Nos últimos três anos, diz a empresa, a geografia da segmentação do grupo evoluiu: em 2022, ela se destacou quase inteiramente na Ucrânia e depois ampliou seus hackers em 2023 para redes em todo o mundo e depois mudou novamente em 2024 para casa em casa em casa Nas vítimas nos EUA, Reino Unido, Canadá e Austrália.
“Nós os vemos pulverizando suas tentativas de acesso inicial, vendo o que volta e depois focando nos alvos que eles gostam”, diz Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft. “Eles estão escolhendo e escolhendo o que faz sentido se concentrar. E eles estão se concentrando nesses países ocidentais. ”
A Microsoft não nomeou nenhuma vítima específica das intrusões do badpilot, mas afirmou amplamente que os alvos do grupo de hackers incluíram “energia, petróleo e gás, telecomunicações, remessas, fabricação de armas” e “governos internacionais”. Em pelo menos três ocasiões, diz a Microsoft, suas operações levaram a ataques cibernéticos de destruição de dados realizados por sanduormes contra alvos ucranianos.
Quanto ao foco mais recente nas redes ocidentais, Degrippo da Microsoft sugere que os interesses do grupo provavelmente estão mais relacionados à política. “As eleições globais são provavelmente uma razão para isso”, diz Degrippo. “Esse cenário político em mudança, eu acho, é um motivador para mudar as táticas e mudar os alvos”.
Nos mais de três anos em que a Microsoft rastreou o badpilot, o grupo procurou obter acesso às redes de vítimas usando vulnerabilidades conhecidas, mas sem patches, em software voltado para a Internet, explorando falhas hackeáveis no Microsoft Exchange and Outlook, bem como aplicativos do OpenFire, JetBrans e Zimbra. Em seu direcionamento de redes ocidentais no ano passado, em particular, a Microsoft alerta que o badpilot explorou especificamente uma vulnerabilidade na ferramenta de acesso remoto Connectwise Screenconnect e o Fortinet Forticlient EMS, outro aplicativo para gerenciar centralmente o software de segurança da Fortinet nos PCs.
Depois de explorar essas vulnerabilidades, a Microsoft descobriu que o badpilot normalmente instala software que oferece acesso persistente a uma máquina de vítimas, geralmente com ferramentas legítimas de acesso remoto, como ATERA Agent ou Splashtop Remote Services. Em alguns casos, em uma reviravolta mais exclusiva, ele também configura o computador de uma vítima para ser executado como o chamado serviço de cebola na rede de anonimato da Tor, transformando-o essencialmente em um servidor que se comunica através da coleção de máquinas proxy da Tor para ocultar suas comunicações.
(Tagstotranslate) Rússia (T) Ucrânia (T) Hacking (T) Cibersegurança (T) Segurança Nacional
Source link
