São Paulo — InkDesign News — O grupo russo de ameaças persistentes conhecidas como Secret Blizzard está focando em embaixadas estrangeiras em Moscou, utilizando um vetor de ataque complexo envolvendo acesso a sistemas de telecomunicações locais e provedores de internet.
Vetor de ataque
De acordo com um relatório de inteligência de ameaças da Microsoft, o grupo tem explorado sua posição como um “adversário no meio” (AitM) para implantar um malware personalizado chamado “ApolloShadow”. Este malware instala um certificado raiz confiável disfarçado de Kaspersky Antivirus nos dispositivos-alvo, permitindo que o grupo “enganem o dispositivo para reconhecer sites maliciosos como legítimos … e permite que o Secret Blizzard infiltre sistemas diplomáticos” (
“enganem o dispositivo para reconhecer sites maliciosos como legítimos … e permite que o Secret Blizzard infiltre sistemas diplomáticos”
(“tricks the device into recognizing malicious websites as legitimate … [and] enables Secret Blizzard to infiltrate diplomatic systems”)— Microsoft, Relatório de Ameaça
).
Impacto e resposta
A análise técnica aponta que a utilização de acesso a ISPs permitiria a instalação silenciosa de malware e a coleta de informações por longos períodos. A capacidade do ApolloShadow de alterar configurações de rede e permissões de firewall torna as máquinas vulneráveis a movimentos laterais na rede, aumentando exponencialmente o risco para as embaixadas.
Análise e recomendações
Para mitigar riscos semelhantes, especialistas recomendam que as organizações evitem usar serviços de internet locais, preferindo provedores alternativos que não estejam sob supervisão governamental. O uso de redes privadas virtuais (VPNs) com infraestrutura confiável também é indicado. Além disso, a Microsoft enfatiza a importância da implementação de princípios de privilégio mínimo e da revisão regular de contas privilegiadas. As organizações devem habilitar a proteção em nuvem no Microsoft Defender e considerar o uso de resposta a endpoint para detectar e remediar ameaças.
Com a intensificação das operações do Secret Blizzard, espera-se que as iniciativas de cibersegurança em nível global se tornem mais rigorosas, visando proteger sistemas críticos contra essa e outras ameaças similares.
Fonte: (Dark Reading – Segurança Cibernética)
