São Paulo — InkDesign News — Pesquisadores em segurança cibernética desmantelaram uma sofisticada campanha de roubo de credenciais atribuída ao grupo APT29, associado formalmente ao serviço de inteligência estrangeira da Rússia (SVR).
Vetor de ataque
A operação do APT29 envolveu a compromissão de sites legítimos, onde foram injetados códigos maliciosos que redirecionavam os visitantes para páginas falsas de verificação de segurança. O objetivo era explorar o sistema de autenticação de dispositivos da Microsoft e obter acesso às contas dos usuários. Os atacantes comprometeram vários sites legais e injetaram um script em JavaScript que redirecionava os visitantes desavisados para domínios que imitavam páginas legítimas de verificação da Cloudflare.
Impacto e resposta
O impacto foi significativo, uma vez que esse grupo tem um histórico de comprometer organizações governamentais e militares, ONGs e empresas de tecnologia nos EUA e na Europa desde 2008. A campanha foi interrompida pelo serviço de inteligência da Amazon, que detectou e desmantelou a infraestrutura de ataque, incluindo instâncias da AWS. “Apesar das tentativas do ator de migrar para uma nova infraestrutura, nossa equipe continuou rastreando e interrompendo suas operações”, afirma o CISO da Amazon, CJ Moses.
“Apesar das tentativas do ator de migrar para uma nova infraestrutura, nossa equipe continuou rastreando e interrompendo suas operações.”
(“Despite the actor’s attempts to migrate to new infrastructure, including a move off AWS to another cloud provider, our team continued tracking and disrupting their operations.”)— CJ Moses, CISO, Amazon
Análise e recomendações
A campanha não se baseou apenas em técnicas tradicionais de phishing, mas também na exploração do sistema de autenticação de dispositivos, uma abordagem que, embora não nova, é relativamente raramente utilizada. Para mitigar essa ameaça, é recomendado que os administradores de TI revisem as diretrizes de segurança da Microsoft sobre fluxos de autenticação de dispositivos. É aconselhável considerar a desativação desse recurso, caso não seja necessário, e implementar políticas de acesso condicional que restrinjam a autenticação com base na conformidade do dispositivo, localização e fatores de risco.
O cenário atual sugere que outras campanhas podem surgir, refletindo a evolução das táticas usadas por ameaças cibernéticas como o APT29. A constante inovação em técnica e estratégia enfatiza a necessidade de um monitoramento proativo e a adoção de medidas de segurança robustas.
Fonte: (Dark Reading – Segurança Cibernética)
