A Microsoft divulgou na noite da última quinta-feira (27) um alerta que, segundo a empresa, envolve os hackers por trás do ataque massivo à SolarWinds no ano passado. Agora, eles tentam acessar os sistemas de e-mail de centenas de governos nas Américas, além de organizações sem fins lucrativos e grupos que podem se opor ao governo russo.

Os hackers, chamados de Nobelium, têm como alvo cerca de três mil contas de e-mail em mais de 150 organizações. As tentativas de hacking foram identificadas pela primeira vez em janeiro deste ano, mas a Microsoft afirma que elas ainda estão em andamento.

“Embora as organizações nos Estados Unidos tenham recebido a maior parte dos ataques, as vítimas direcionadas abrangem pelo menos 24 países. Cerca de um quarto das organizações visadas estavam envolvidas no desenvolvimento internacional, trabalho humanitário e de direitos humanos. O grupo Nobelium, originário da Rússia, é o mesmo por trás dos ataques aos clientes da SolarWinds em 2020”, escreveu a Microsoft.

Um dos alvos era a conta do serviço de marketing online Constant Contact, da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID), que foi projetada para gerenciar ajuda estrangeira e estimular o desenvolvimento de negócios em todo o mundo.

A Microsoft diz que o grupo de hackers conseguiu enviar e-mails de phishing que pareciam autênticos, mas incluíam um link que, quando clicado, inseria um arquivo malicioso usado para distribuir um backdoor chamado NativeZone. A brecha permite desde roubo de dados até infectar múltiplos computadores em uma rede.

Por que a Rússia iria atrás da USAID?

Ainda são incertos os motivos pelos quais hackers russos estariam mirando a agência estadunidense. No entanto, a Microsoft levanta três hipóteses para os ataques recentes:

“Em primeiro lugar, quando combinado com o ataque à SolarWinds, fica claro que parte do manual do Nobelium é obter acesso a fornecedores de tecnologia confiáveis ​​e infectar seus clientes. Ao pegar carona nas atualizações de software, e agora em provedores de e-mail em massa, o Nobelium aumenta as chances de danos colaterais em operações de espionagem e diminuiu a confiança no ecossistema de tecnologia.

Em segundo lugar, talvez sem surpresa, as atividades do Nobelium e de grupos semelhantes tendem a acompanhar questões de interesse para o país a partir do qual estão operando. Desta vez, o Nobelium teve como alvo muitas organizações humanitárias e de direitos humanos. No auge da pandemia de Covid-19 e alguns países, o grupo russo Strontium mirava organizações de saúde envolvidas com vacinas. Em 2019, o Strontium mirou organizações esportivas e antidoping. E já divulgamos a atividade da Strontium e outros grupos visando eleições importantes nos EUA e em outros lugares. Este é mais um exemplo de como os ataques cibernéticos se tornaram a ferramenta preferida de um número crescente de Estados-nação para cumprir uma ampla variedade de objetivos políticos, como foco desses ataques do Nobelium em direitos humanos e organizações humanitárias.

Terceiro, os ataques cibernéticos entre Estados-nação não estão diminuindo. Precisamos de regras claras que regem a conduta dos Estados-nação no ciberespaço e expectativas claras sobre as consequências da violação dessas regras.”

Ataques à SolarWinds ficaram meses na surdina

O hack da SolarWinds foi um dos piores ataques a computadores nos EUA, liberando código malicioso em alguns dos sistemas mais confidenciais executados pelo governo dos EUA e seus contratados. Pior: mais da metade dos 33 mil clientes da SolarWinds em 2020 já estavam infectados há pelo menos nove meses antes das primeiras notícias do hack serem divulgadas na imprensa.

Assine a newsletter do Gizmodo

Uma reportagem do jornal The Washington Post verificou que os Departamentos de Estado, Comércio, Tesouro e Segurança Interna, bem como os Institutos Nacionais de Saúde, que realiza pesquisas biomédicas em nome do governo, estavam na lista de agências federais consideradas vítimas do ataque. O Departamento de Energia e sua Administração Nacional de Segurança Nuclear, responsáveis principalmente por salvaguardar as armas nucleares do país, também foram comprometidos.

A Rússia negou seu envolvimento em ciberataques de qualquer tipo.