A Microsoft afirma que os hackers da SolarWinds estão agora visando agências governamentais e ONG
A Microsoft observou o grupo por trás do infame ataque SolarWinds visando várias agências governamentais, grupos de reflexão, ONGs e muito mais. Uma nova onda de ataques do grupo de hackers, apelidado de Nobelium, tem como alvo milhares de contas de e-mail em mais de 150 organizações.
Embora a maioria das organizações esteja localizada nos EUA, as organizações de vítimas abrangem 24 países, com muitos alvos diretamente envolvidos em ajuda humanitária, trabalho de direitos humanos e desenvolvimento internacional.
Microsoft confirma nova campanha da SolarWinds Hackers
Em uma postagem no blog Microsoft On the Issues , o vice-presidente corporativo de segurança e confiança do cliente, Tom Burt, confirmou e detalhou o último ataque do Nobelium.
O Nobelium, originário da Rússia, é o mesmo ator por trás dos ataques a clientes da SolarWinds em 2020. Esses ataques parecem ser uma continuação de vários esforços do Nobelium para atingir agências governamentais envolvidas em política externa como parte dos esforços de coleta de inteligência.
O último ataque começou com o Nobelium obtendo acesso a uma conta de marketing por e-mail da USAID. A partir daí, os invasores podem distribuir e-mails de phishing direcionados contendo um link malicioso. Uma vez clicado, a vítima baixa e instala o NativeZone, um backdoor que permite amplo acesso e controle sobre um computador remoto.
De acordo com o blog técnico do Microsoft Threat Intelligence Center sobre o ataque, muitos dos e-mails maliciosos enviados podem ter sido bloqueados, sendo marcados como spam devido ao grande volume que foram enviados.
No entanto, esses sistemas não são à prova de falhas e alguns e-mails passaram por sistemas de detecção automática "devido à configuração e às configurações de política ou antes de as detecções estarem em vigor". Ainda assim, a Microsoft observa que seus sistemas de segurança estão bloqueando o malware usado no ataque.
O blog do Threat Intelligence Center também contém informações sobre o lado técnico do ataque Nobelium e do malware em uso.
SolarWinds Attackers Nobelium Resurface
O ressurgimento do Nobelium é um sinal preocupante, até porque os invasores têm um histórico de sucesso em violar redes de alto nível e obter acesso a dados críticos.
Como a Microsoft e outras grandes empresas de tecnologia têm afirmado consistentemente, mais ações contra grupos de hackers de estado-nação (às vezes chamados de APTs) devem vir dos governos. Esses ataques enormes não estão diminuindo a velocidade. No mínimo, a taxa de sucesso está encorajando os invasores a buscar mais alvos, especialmente ramificando-se em alvos que podem ter protocolos de segurança frouxos em vigor.
Finalmente, a gama de alvos também é preocupante. Visando esforços humanitários, ONGs e ativistas de direitos humanos, ilustram que essa forma de ataque se tornou uma das principais armas de escolha de certos Estados-nação, usada para minar ou destruir o trabalho em andamento em áreas críticas.