Segundo o comunicado, o APT28, também conhecido como Fancy Bear, um grupo amplamente associado à inteligência russa (GRU), está explorando vulnerabilidades em roteadores de pequeno porte e de escritórios domésticos (SOHO) e alterando as configurações de seus servidores DNS para redirecionar as vítimas para sites que controla.
Em muitos casos, alterar essas configurações de DNS também pode fazer com que dispositivos subsequentes, como laptops e smartphones, as herdem, expondo-os a conexões maliciosas.
O Fancy Bear normalmente redireciona as vítimas que procuram serviços comuns, como o Outlook, para sites sob seu controle. Em vez disso, as vítimas são direcionadas para uma página falsa do Outlook, na qual inserem, sem saber, suas credenciais legítimas para acessar o serviço.
Os roteadores TP-Link foram mencionados especificamente, embora os roteadores Cisco já tivessem sido envolvidos na mesma atividade anteriormente, que o NCSC monitora desde 2021.
Um outro grupo de atividades semelhantes teve como alvo roteadores MikroTik . O NCSC acredita que muitos deles estavam localizados na Ucrânia e que comprometê-los permitiria à Rússia coletar dados com valor para inteligência militar.
Embora a atividade de sequestro de DNS ocorra há anos e seja realizada por agentes de ameaças sofisticados, o NCSC afirmou que provavelmente se trata de um ato oportunista, em vez de um ataque direcionado a indivíduos de alto valor.
Paul Chichester, diretor de operações do NCSC, disse: “Esta atividade demonstra como vulnerabilidades exploradas em dispositivos de rede amplamente utilizados podem ser aproveitadas por agentes hostis sofisticados.
“Incentivamos fortemente as organizações e os defensores de redes a familiarizarem-se com as técnicas descritas no comunicado e a seguirem as recomendações de mitigação.”
“O NCSC continuará a expor as atividades cibernéticas maliciosas russas e a fornecer orientações práticas para ajudar a proteger as redes do Reino Unido.”
A Microsoft também publicou seu próprio relatório sobre os ataques , acrescentando que o APT28 (Forest Blizzard, na nomenclatura de Redmond) provavelmente esperava comprometer roteadores em organizações a montante de grandes alvos.
Ao fazer isso, o grupo poderia ter acesso a ambientes corporativos e a uma grande quantidade de outros dados confidenciais.
O comunicado afirmava: “A Microsoft Threat Intelligence identificou mais de 200 organizações e 5.000 dispositivos de consumidores afetados pela infraestrutura DNS maliciosa da Forest Blizzard; a telemetria não indicou comprometimento de ativos ou serviços pertencentes à Microsoft.”
A Microsoft prosseguiu dizendo que o APT28 também poderia usar ataques bem-sucedidos para outros fins, como ataques DDoS e implantação de malware.
Um dos alertas anteriores do NCSC, datado de abril de 2023, observou que ataques semelhantes a roteadores Cisco resultaram na implantação do malware Jaguar Tooth pelo APT28 , estabelecendo backdoors para ataques subsequentes.
Por Connor Jones publicado no The Register
Clique e fale com representante oficial Sophos
Veja também:
- Falha inédita transforma atualização de software governamental em canal silencioso de malware
- Falha em robôs aspiradores permite acesso remoto
- ROI da segurança: quanto custa não investir?
- Trojan de acesso remoto BTMOB avança no Brasil
- Golpe do “link de viagem”
- O risco silencioso dos arquivos esquecidos
- CERT.br lança novos fascículos da Cartilha de Segurança
- Apenas 5% das organizações confiam totalmente em fornecedores de cibersegurança
- Mentiras mais contadas por cibercriminosos em ligações telefônicas
- O código-fonte de Claude Code parece ter vazado
- Falha expõe limites da segurança padrão do ChatGPT, mesmo após correção
- Ataques com IA estão transformando a estratégia de backup nas empresas
Be the first to comment