Agências de cibersegurança e inteligência do Reino Unido, Canadá e Estados Unidos disseram que espiões russos atacaram organizações que estão tentando desenvolver vacinas para o COVID-19.
O Centro de Cibersegurança Nacional do Reino Unido (NCSC, na sigla em inglês) diz que, em conjunto com o Estabelecimento de Segurança de Comunicações do Canadá (CSE), identificaram ataques atribuídos a um grupo de ciberespionagem chamado APT29, também conhecido como os Dukes ou Cozy Bear que “quase certamente faz parte dos serviços de inteligência russa”.
O NCSC afirma ainda que a Agência de Segurança Nacional (NSA) dos EUA concorda com a atribuição à Rússia e com os detalhes do relatório. Por fim, afirmam que Agência de Cibersegurança e Segurança de Infraestrutura do Departamento de Segurança Nacional (DHS CISA) dos EUA também endossam os detalhes do documento.
O relatório afirma que o APT29 atacou diversas organizações envolvidas com o desenvolvimento de vacinas para COVID-19 no Canadá, Estados Unidos e Reino Unido. As agências acreditam que o objetivo era roubar informações e propriedade intelectual para o desenvolvimento e testes de vacinas contra o novo coronavírus.
O documento detalha que o grupo utilizou rastreamento de vulnerabilidade contra IPs externos específicos dessas organizações. O NCSC deu quatro exemplos de brechas: Citrix, Pulse Secure, FortiGate e Zimbra.
A organização também teria usado golpes spear-phishing para obter credenciais de páginas de login dessas organizações. Golpes spear-phishing são ataques altamente direcionados para vítimas específicas, utilizando técnicas para enganar uma pessoa a incluir informações de login em uma página falsa, por exemplo.
Em alguns casos foi utilizado um malware conhecido como WellMess e WellMail para ampliar as operações nas máquinas das vítimas. O WellMess é utilizado para executar códigos arbitrários, baixar e enviar arquivos. Já o WellMail roda comandos ou scripts com resultados enviados para um servidor de comando e controle.
De acordo com as agências, o grupo costuma atacar governos, diplomacias, think-tanks, operações de saúde e energia para obter ganhos de inteligência. Segundo eles, é improvável que o grupo cesse os ataques.
A BBC informa que a Rússia negou envolvimento. “Não temos informações sobre quem pode ter invadido empresas farmacêuticas e centros de pesquisa na Grã-Bretanha. Podemos dizer uma coisa – a Rússia não tem nada a ver com essas tentativas”, disse Dmitry Peskov, porta-voz de Vladimir Putin, presidente da Rússia, de acordo com a agência de notícias Tass.