APT russo 'Winter Vivern' tem como alvo governos e militares europeus

O grupo de ameaça alinhado com a Rússia conhecido como Viver de Inverno foi descoberto explorando vulnerabilidades de cross-site scripting (XSS) em servidores de webmail Roundcube em toda a Europa em outubro – e agora suas vítimas estão vindo à tona.

O grupo tinha como alvo principal a infra-estrutura governamental, militar e nacional na Geórgia, Polónia e Ucrânia, de acordo com o relatório do Grupo Insikt da Recorded Future sobre a campanha divulgado hoje.

O relatório também destacou alvos adicionais, incluindo a Embaixada do Irão em Moscovo, a Embaixada do Irão nos Países Baixos e a Embaixada da Geórgia na Suécia.

Utilizando técnicas sofisticadas de engenharia social, o APT (que a Insikt chama de TAG-70 e também conhecido como TA473 e UAC-0114) usou um Exploração de dia zero do Roundcube obter acesso não autorizado a servidores de correio direcionados em pelo menos 80 organizações distintas, desde os setores de transporte e educação até organizações de pesquisa química e biológica.

Pensa-se que a campanha tenha sido implementada para recolher informações sobre assuntos políticos e militares europeus, potencialmente para obter vantagens estratégicas ou minar a segurança e as alianças europeias, de acordo com o Insikt.

O grupo é suspeito de conduzir campanhas de ciberespionagem ao serviço dos interesses da Bielorrússia e da Rússia e está ativo pelo menos desde dezembro de 2020.

As motivações geopolíticas de Winter Vivern para a espionagem cibernética

A campanha de outubro estava ligada à atividade anterior do TAG-70 contra os servidores de correio do governo do Uzbequistão, relatada pelo Grupo Insikt em fevereiro de 2023.

Uma motivação óbvia para o ataque ucraniano é o conflito com a Rússia.

“No contexto da guerra em curso na Ucrânia, os servidores de e-mail comprometidos podem expor informações sensíveis sobre o esforço e planeamento de guerra da Ucrânia, as suas relações e negociações com os seus países parceiros, à medida que procura assistência militar e económica adicional, [que] expõe terceiros que cooperam com o governo ucraniano em privado e revelam fissuras dentro da coligação que apoia a Ucrânia”, observou o relatório do Insikt.

Entretanto, o foco nas embaixadas iranianas na Rússia e nos Países Baixos poderia estar ligado a um motivo para avaliar os compromissos diplomáticos e as posições de política externa em curso do Irão, particularmente considerando o envolvimento do Irão no apoio à Rússia no conflito na Ucrânia.

Da mesma forma, a espionagem que visa a Embaixada da Geórgia na Suécia e o Ministério da Defesa da Geórgia decorre provavelmente de objectivos comparáveis ​​orientados para a política externa, especialmente porque a Geórgia revitalizou a sua busca pela adesão à União Europeia e à adesão à NATO no rescaldo da incursão da Rússia na Ucrânia no início 2022.

Outros alvos notáveis ​​incluíam organizações envolvidas nas indústrias de logística e transporte, o que é revelador com base no contexto da guerra na Ucrânia, uma vez que redes logísticas robustas provaram ser cruciais para ambos os lados na manutenção da sua capacidade de lutar.

A defesa contra espionagem cibernética é difícil

As campanhas de ciberespionagem têm aumentado: no início deste mês, um sofisticado APT russo lançado uma campanha de ataque direcionado do PowerShell contra os militares ucranianos, enquanto outro APT russo, Turla, teve como alvo ONGs polonesas usando um novo malware de backdoor.

A Ucrânia também lançou seus próprios ataques cibernéticos contra a Rússia, visando os servidores do provedor de serviços de Internet de Moscou M9 Telecom em janeiro, em retaliação à violação da operadora de telefonia móvel Kyivstar, apoiada pela Rússia.

Mas o relatório do Grupo Insikt observou que a defesa contra ataques como estes pode ser difícil, especialmente no caso de exploração de vulnerabilidade de dia zero.

No entanto, as organizações podem mitigar o impacto do comprometimento criptografando e-mails e considerando formas alternativas de comunicações seguras para a transmissão de informações particularmente sensíveis.

Também é crucial garantir que todos os servidores e softwares sejam corrigidos e mantidos atualizados, e os usuários só devem abrir e-mails de contatos confiáveis.

As organizações também devem limitar a quantidade de informações confidenciais armazenadas em servidores de e-mail, praticando boa higiene e reduzindo a retenção de dados e restringindo informações e conversas confidenciais a sistemas de ponta mais seguros, sempre que possível.

O relatório também observou que a divulgação responsável de vulnerabilidades, especialmente aquelas exploradas por atores APT como o TAG-70, é crucial por vários motivos.

Um analista de inteligência de ameaças do Grupo Insikt da Recorded Future explicou por e-mail que esta abordagem garante que as vulnerabilidades sejam corrigidas e retificadas rapidamente antes que outros as descubram e abusem delas, e permite a contenção de explorações por invasores sofisticados, evitando danos mais amplos e rápidos.

“Em última análise, esta abordagem aborda os riscos imediatos e incentiva melhorias a longo prazo nas práticas globais de cibersegurança”, explicou o analista.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military