Cotação de desconto para licenças múltiplas
Segurança do Computador Os Hackers Russos do Seashell Blizzard Violam Alvos de...

Os Hackers Russos do Seashell Blizzard Violam Alvos de Infraestrutura Crítica, Alerta a Microsoft

Por Mura em Segurança do Computador
Traduzir Para:
Português

Um perigoso grupo de hackers ligado à Rússia, conhecido como Seashell Blizzard, intensificou seus ataques a infraestruturas críticas em todo o mundo, levantando preocupações sobre ciberespionagem de longo prazo e operações destrutivas. De acordo com um aviso recente da Microsoft, esse grupo não está apenas se infiltrando em sistemas de alto valor, mas também se incorporando profundamente para manter o controle de longo prazo sobre redes comprometidas.

O Seashell Blizzard é um Notório Autor Russo de Ameaças

O Seashell Blizzard, também rastreado como APT44, BlackEnergy Lite, Sandworm, Telebots e Voodoo Bear, tem sido uma ameaça cibernética significativa desde pelo menos 2009. Acredita-se que o grupo opere sob a agência de inteligência militar da Rússia, a GRU (especificamente a Unidade 74455). Seashell Blizzard é notório por seus ataques destrutivos, incluindo o infame ransomware NotPetya que paralisou empresas globais em 2017 e o malware KillDisk que teve como alvo sistemas críticos ucranianos em 2015.

Ao longo dos anos, a Seashell Blizzard tem como alvo setores de infraestrutura crítica, como:

  • Energia
  • Fornecimento de água
  • Instituições Governamentais
  • Redes Militares
  • Telecomunicações
  • Transporte
  • Fabricação

Esses ataques não são aleatórios – eles estão intimamente alinhados aos objetivos militares russos, particularmente na Ucrânia, onde a guerra cibernética tem sido um componente essencial da estratégia de conflito mais ampla da Rússia.

Um Novo Subgrupo Focado no Acesso Persistente

O último relatório da Microsoft destaca o surgimento de um subgrupo dentro da Seashell Blizzard que tem operado sob o radar por pelo menos quatro anos. Este subgrupo é dedicado a uma missão crítica: obter acesso inicial a sistemas vulneráveis e estabelecer persistência de longo prazo. Isso permite que os hackers mantenham o controle sobre os sistemas comprometidos por meses ou até anos, prontos para lançar ataques disruptivos a qualquer momento.

Chamada de campanha BadPilot , esse esforço está em andamento desde 2021, com foco na infiltração de alvos de alto valor para facilitar comprometimentos de rede mais amplos. Os métodos do subgrupo são descritos como furtivos e altamente oportunistas, contando com vulnerabilidades em softwares amplamente utilizados e sistemas voltados para a Internet.

Explorando Vulnerabilidades Conhecidas

Os invasores estão explorando falhas de segurança bem conhecidas em sistemas populares, incluindo:

  • ConnectWise ScreenConnect (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Suíte de colaboração Zimbra (CVE-2022-41352)
  • Servidor de bate-papo OpenFire (CVE-2023-32315)
  • Servidor de compilação do TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Servidores JBOSS (CVE não especificado)

Os hackers empregam uma abordagem agressiva de “spray-and-pray”, escaneando a internet em busca de sistemas vulneráveis e atacando-os em massa. Uma vez lá dentro, eles se incorporam usando ferramentas como web shells e software de Monitoramento e Gerenciamento Remoto (RMM), garantindo controle de longo prazo sobre os sistemas comprometidos.

As Técnicas Alarmantes Usadas para Manter o Controle

Depois que um sistema é comprometido, o subgrupo implementa várias técnicas de persistência:

  • Implantações de Web Shell: Fornecendo acesso backdoor para controle remoto.
  • Ferramentas RMM: Permitindo acesso discreto e posterior implantação de malware.
  • Coleta de credenciais: Modificação de páginas de login e configurações de DNS do OWA para roubar credenciais de usuários.
  • Injeção de JavaScript: A adição de código malicioso a portais de login para coletar nomes de usuários e senhas.

Em vários casos, esse acesso persistente precedeu ataques destrutivos, sugerindo que os hackers mantêm uma capacidade de dupla finalidade – espionagem e sabotagem – dependendo das necessidades militares e geopolíticas russas.

Expansão Global: EUA e Reino Unido Agora na Mira

Embora a Ucrânia tenha sido o foco principal das operações cibernéticas da Seashell Blizzard, o relatório da Microsoft revela que esse subgrupo expandiu seu alcance em 2023, mirando organizações nos Estados Unidos e no Reino Unido. A expansão sinaliza uma mudança perigosa, sugerindo que o manual de guerra cibernética da Rússia está ampliando seu escopo para incluir nações ocidentais.

Uma Ameaça Persistente e Crescente

A Microsoft alerta que esse subgrupo não está diminuindo o ritmo. Na verdade, é provável que ele continue evoluindo e implantando técnicas inovadoras para se infiltrar em redes pelo mundo. Com a guerra em andamento da Rússia na Ucrânia e as crescentes tensões geopolíticas, os ataques cibernéticos contra infraestrutura crítica podem se transformar em consequências devastadoras no mundo real.

Protegendo a Sua Organização contra o Seashell Blizzard

Organizações em setores críticos devem tomar medidas imediatas para se defender contra esta ameaça persistente:

  • Corrija vulnerabilidades conhecidas: garanta que os sistemas que executam ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire e outros softwares visados estejam totalmente atualizados.
  • Fortaleça a segurança da rede: implante autenticação multifator (MFA), restrinja o acesso a sistemas confidenciais e monitore atividades incomuns.
  • Monitore a persistência: realize auditorias de segurança regulares para detectar shells da web não autorizados, ferramentas RMM ou modificações em páginas de login e configurações de DNS.
  • Prontidão para resposta a incidentes: prepare-se para possíveis ataques disruptivos desenvolvendo um plano de resposta abrangente e garantindo que os backups estejam seguros e testados regularmente.

Aviso Final

O Seashell Blizzard e seu subgrupo de acesso inicial representam um perigo claro e presente para a infraestrutura crítica globalmente. Sua busca incansável por acesso persistente pode servir como um precursor para sabotagem cibernética em larga escala, capaz de interromper redes de energia, suprimentos de água, sistemas de transporte e operações governamentais. As últimas descobertas da Microsoft são um lembrete gritante: o próximo grande ataque cibernético pode já estar à espreita dentro de sistemas críticos, esperando o sinal para atacar.

Carregando...