• International IT

NSA e FBI revelam métodos usados por hackers militares russos

Atualizado: Jul 22

De acordo com um comunicado conjunto publicado por agências de inteligência do Reino Unido e dos EUA, uma série de ataques cibernéticos visando ambientes de nuvem corporativos foram realizados pela inteligência militar russa desde 2019.


VEJA TAMBÉM: NSA defende adoção de um modelo de segurança Zero Trust


A National Security Agency (NSA), a Cybersecurity and Infrastructure Security Agency (CISA), o Federal Bureau of Investigation (FBI) e o National Cyber Security Center (NCSC) atribuíram formalmente esses ataques ao governo russo.


Os hackers russos possuem diversos nomes atribuídos por diferentes empresas, entre eles APT28 (FireEye Mandiant), Fancy Bear (CrowdStrike), Sofacy (Kaspersky), STRONTIUM (Microsoft) e Iron Twilight (Secureworks).


Eles são conhecidos por usar password spray e tentativas de brute-force login para coletar credenciais válidas que possam permitir futuras operações de espionagem ou invasão. Em novembro de 2020, a Microsoft divulgou ataques de coleta de credenciais em empresas envolvidas na pesquisa de vacinas e tratamentos para COVID-19.


O que há de novo no comunicado é que os hackers estão utilizando software containers para escalar seus ataques de força bruta. Nesse sentido, a CISA afirma:

Os ataques usam um cluster Kubernetes em tentativas de acesso de força bruta contra os ambientes corporativos e de nuvem de alvos do governo e do setor privado em todo o mundo.
Depois de obter credenciais por meio de força bruta, o GTsSS usa uma variedade de vulnerabilidades conhecidas para acesso adicional à rede por meio de execução remota de código e movimento lateral.

SAIBA MAIS: Caso SolarWinds: EUA expulsam 10 diplomatas Russos por causa de ataque cibernético


Algumas das outras falhas de segurança exploradas pelos russos incluem:

  • CVE-2020-0688 - Vulnerabilidade de execução remota do código da chave de validação do Microsoft Exchange

  • CVE-2020-17144 - Vulnerabilidade de execução remota de código do Microsoft Exchange

Os hackers também teria utilizado diferentes técnicas de evasão na tentativa de disfarçar alguns componentes de suas operações, incluindo o roteamento de autenticação de força bruta por meio do Tor e serviços VPN comerciais, como CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark e WorldVPN.


As agências de segurança também disseram que os ataques se concentraram principalmente nos EUA e na Europa, focando governo, militares, empresas de energia, logística, mídia, escritórios de advocacia, partidos políticos e think tanks.


Por fim, o comunicado conclui:

Os administradores de rede devem adotar e expandir o uso da autenticação multifator para ajudar a conter a eficácia dos ataques.
Mitigações adicionais para garantir melhor controle de acesso incluem tempo limite e recursos de bloqueio, uso obrigatório de senhas fortes, implementação de modelo de segurança Zero Trust.

Fontes: Bloomberg e The Hacker News

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.

Posts recentes

Ver tudo