Microsoft alerta que hackers russos do caso SolarWinds estão atacando alvos em 24 países

A companhia diz que o foco do grupo conhecido como Nobelium mira pelo menos 150 organizações em países das Américas.

Imagem: hrustallart/Unsplash

Imagem: hrustallart/Unsplash

A Microsoft divulgou na noite da última quinta-feira (27) um alerta que, segundo a empresa, envolve os hackers por trás do ataque massivo à SolarWinds no ano passado. Agora, eles tentam acessar os sistemas de e-mail de centenas de governos nas Américas, além de organizações sem fins lucrativos e grupos que podem se opor ao governo russo.

Os hackers, chamados de Nobelium, têm como alvo cerca de três mil contas de e-mail em mais de 150 organizações. As tentativas de hacking foram identificadas pela primeira vez em janeiro deste ano, mas a Microsoft afirma que elas ainda estão em andamento.

“Embora as organizações nos Estados Unidos tenham recebido a maior parte dos ataques, as vítimas direcionadas abrangem pelo menos 24 países. Cerca de um quarto das organizações visadas estavam envolvidas no desenvolvimento internacional, trabalho humanitário e de direitos humanos. O grupo Nobelium, originário da Rússia, é o mesmo por trás dos ataques aos clientes da SolarWinds em 2020”, escreveu a Microsoft.

Um dos alvos era a conta do serviço de marketing online Constant Contact, da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID), que foi projetada para gerenciar ajuda estrangeira e estimular o desenvolvimento de negócios em todo o mundo.

A Microsoft diz que o grupo de hackers conseguiu enviar e-mails de phishing que pareciam autênticos, mas incluíam um link que, quando clicado, inseria um arquivo malicioso usado para distribuir um backdoor chamado NativeZone. A brecha permite desde roubo de dados até infectar múltiplos computadores em uma rede.

Por que a Rússia iria atrás da USAID?

Ainda são incertos os motivos pelos quais hackers russos estariam mirando a agência estadunidense. No entanto, a Microsoft levanta três hipóteses para os ataques recentes:

“Em primeiro lugar, quando combinado com o ataque à SolarWinds, fica claro que parte do manual do Nobelium é obter acesso a fornecedores de tecnologia confiáveis ​​e infectar seus clientes. Ao pegar carona nas atualizações de software, e agora em provedores de e-mail em massa, o Nobelium aumenta as chances de danos colaterais em operações de espionagem e diminuiu a confiança no ecossistema de tecnologia.

Em segundo lugar, talvez sem surpresa, as atividades do Nobelium e de grupos semelhantes tendem a acompanhar questões de interesse para o país a partir do qual estão operando. Desta vez, o Nobelium teve como alvo muitas organizações humanitárias e de direitos humanos. No auge da pandemia de Covid-19 e alguns países, o grupo russo Strontium mirava organizações de saúde envolvidas com vacinas. Em 2019, o Strontium mirou organizações esportivas e antidoping. E já divulgamos a atividade da Strontium e outros grupos visando eleições importantes nos EUA e em outros lugares. Este é mais um exemplo de como os ataques cibernéticos se tornaram a ferramenta preferida de um número crescente de Estados-nação para cumprir uma ampla variedade de objetivos políticos, como foco desses ataques do Nobelium em direitos humanos e organizações humanitárias.

Terceiro, os ataques cibernéticos entre Estados-nação não estão diminuindo. Precisamos de regras claras que regem a conduta dos Estados-nação no ciberespaço e expectativas claras sobre as consequências da violação dessas regras.”

Ataques à SolarWinds ficaram meses na surdina

O hack da SolarWinds foi um dos piores ataques a computadores nos EUA, liberando código malicioso em alguns dos sistemas mais confidenciais executados pelo governo dos EUA e seus contratados. Pior: mais da metade dos 33 mil clientes da SolarWinds em 2020 já estavam infectados há pelo menos nove meses antes das primeiras notícias do hack serem divulgadas na imprensa.

Uma reportagem do jornal The Washington Post verificou que os Departamentos de Estado, Comércio, Tesouro e Segurança Interna, bem como os Institutos Nacionais de Saúde, que realiza pesquisas biomédicas em nome do governo, estavam na lista de agências federais consideradas vítimas do ataque. O Departamento de Energia e sua Administração Nacional de Segurança Nuclear, responsáveis principalmente por salvaguardar as armas nucleares do país, também foram comprometidos.

A Rússia negou seu envolvimento em ciberataques de qualquer tipo.

Sair da versão mobile