A Rússia parece realizar um hack do sistema usado pela Agência de Ajuda dos EUA.
Hackers ligados à principal agência de inteligência da Rússia apreenderam secretamente um sistema de e-mail usado pela agência de ajuda internacional do Departamento de Estado para invadir redes de computadores de grupos de direitos humanos e outras organizações do tipo que criticam o presidente Vladimir V. Putin, revelou a Microsoft Corporation. quinta-feira.
A descoberta da violação ocorre apenas três semanas antes da data marcada para o encontro do presidente Biden com Putin em Genebra, e em um momento de grande tensão entre as duas nações, em parte devido a uma série de ataques cibernéticos cada vez mais sofisticados provenientes da Rússia.
O ataque recentemente revelado também foi particularmente ousado: ao violar os sistemas de um provedor usado pelo governo federal, os hackers enviaram e-mails ainda nesta semana de mais de 3.000 contas de aparência genuína, visando mais de 150 organizações que recebem comunicações regulares de. a Agência dos Estados Unidos para o Desenvolvimento Internacional.
O e-mail foi implantado com um código que daria aos hackers acesso ilimitado aos sistemas de computador dos destinatários, desde “roubar dados até infectar outros computadores em uma rede”. Tom Burt, vice-presidente da Microsoft, escreveu na noite de quinta-feira.
No mês passado, Biden anunciou um série de novas sanções sobre a Rússia e a expulsão de diplomatas por uma sofisticada operação de hacking, chamado SolarWinds, que usou novos métodos para violar pelo menos sete agências governamentais e centenas de grandes empresas americanas.
Esse ataque não foi detectado pelo governo dos Estados Unidos por nove meses, até ser descoberto por uma empresa de segurança cibernética. Em abril, Biden disse que poderia ter respondido com muito mais força, mas “Escolheu ser proporcional” porque ele não queria “iniciar um ciclo de escalada e conflito com a Rússia”.
No entanto, a resposta russa parece ter sido uma escalada. A atividade maliciosa começou na semana passada. Isso sugere que as sanções e quaisquer ações secretas adicionais da Casa Branca, parte de uma estratégia para criar custos “visíveis e invisíveis” para Moscou, não sufocaram o apetite do governo russo por desorganização.
Um porta-voz do Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura do Departamento de Segurança Interna disse na quinta-feira que a agência estava “ciente do envolvimento potencial” na Agência para o Desenvolvimento Internacional e estava “trabalhando com o FBI e a USAID. Para entender melhor o escopo do envolvimento e ajudar vítimas em potencial. “
A Microsoft identificou o grupo russo por trás do ataque como Nobelium e disse que era o mesmo grupo responsável pelo hack do SolarWinds. No mês passado, o governo dos EUA disse explicitamente que a SolarWinds era obra da S.V.R., uma das subsidiárias de maior sucesso da K.G.B. da era soviética.
A mesma agência esteve envolvida em hackear o Comitê Nacional Democrata em 2016 e, antes disso, em ataques ao Pentágono, ao sistema de e-mail da Casa Branca e a comunicações não confidenciais do Departamento de Estado.
Ele se tornou cada vez mais agressivo e criativo, dizem autoridades federais e especialistas. O ataque da SolarWinds nunca foi detectado pelo governo dos Estados Unidos e foi realizado por meio de código embutido em um software de gerenciamento de rede amplamente utilizado pelo governo e empresas privadas. Quando os clientes atualizavam o software SolarWinds, da mesma forma que atualizam um iPhone durante a noite, eles estavam, sem saber, deixando um invasor.
Entre as vítimas no ano passado estavam os Departamentos de Segurança Interna e Energia, além de laboratórios nucleares.
Quando Biden assumiu o cargo, ele solicitou um estudo de caso da SolarWinds, e as autoridades têm trabalhado para evitar futuros ataques à “cadeia de suprimentos”, nos quais os adversários infectam softwares usados por agências federais. Isso é semelhante ao que aconteceu neste caso, quando a equipe de segurança da Microsoft descobriu hackers usando um serviço de e-mail amplamente usado, fornecido por uma empresa chamada Constant Contact, para enviar e-mails maliciosos que pareciam vir de endereços da Agência para o Desenvolvimento Internacional.
Mas o conteúdo às vezes não era sutil. Em um e-mail enviado pelo serviço Constant Contact na terça-feira, os hackers destacaram uma mensagem afirmando que “Donald Trump divulgou novos e-mails sobre fraude eleitoral”. O e-mail tinha um link que, quando clicado, colocava arquivos maliciosos nos computadores dos destinatários.
A Microsoft observou que o ataque diferia “significativamente” do hack do SolarWinds, usando novas ferramentas e técnicas em um aparente esforço para evitar a detecção. Ele disse que o ataque ainda está em andamento e que os hackers continuam a enviar e-mails de spearphishing, com maior velocidade e alcance. É por isso que a Microsoft deu o passo incomum de nomear a agência cujos endereços de e-mail estavam sendo usados e publicar amostras do e-mail falso.
Em essência, os russos invadiram o sistema de e-mail da Agência para o Desenvolvimento Internacional vasculhando a agência e indo diretamente atrás de seus fornecedores de software. O Constant Contact lida com e-mails em massa e outras comunicações em nome da agência de ajuda.
“O Nobelium lançou os ataques desta semana obtendo acesso à conta Constant Contact dos EUA”, escreveu Burt, da Microsoft. O contato constante não foi encontrado para comentar.
A Microsoft, como outras grandes empresas de segurança cibernética, mantém uma vasta rede de sensores para pesquisar atividades mal-intencionadas na Internet e, muitas vezes, é um alvo em si. Ele esteve profundamente envolvido na revelação do ataque ao SolarWinds.
Nesse caso, relatou a Microsoft, o objetivo dos hackers não era ir atrás do Departamento de Estado ou da agência de ajuda humanitária, mas usar suas conexões para dividir os grupos de trabalho em campo e, em muitos casos, eles estão entre os mais populares. . críticos poderosos.
“Pelo menos um quarto das organizações selecionadas estavam envolvidas no desenvolvimento internacional, trabalho humanitário e de direitos humanos”, escreveu Burt. Embora ele não os tenha mencionado, muitos desses grupos revelaram a ação russa contra dissidentes ou protestaram contra o envenenamento, condenação e prisão do mais conhecido líder da oposição da Rússia, Alexei A. Navalny.
O ataque sugere que as agências de inteligência da Rússia estão intensificando sua campanha, talvez para mostrar que o país não recuará das sanções, expulsão de diplomatas e outras pressões.
Biden mencionou o ataque da SolarWinds a Putin em um telefonema no mês passado, dizendo a ele que as sanções e expulsões eram uma demonstração de como seu governo não toleraria mais um ritmo acelerado de operações cibernéticas.
Putin negou o envolvimento russo e alguns meios de comunicação russos argumentaram que os Estados Unidos lançaram o ataque contra si próprios.
Na época, a Casa Branca também impôs uma série de novas sanções ao povo e ativos russos, incluindo novas restrições à compra de dívida soberana da Rússia, o que tornará difícil para a Rússia levantar dinheiro e resgatar sua moeda.
“Este é o início de uma nova campanha americana contra o mau comportamento da Rússia”, disse na época a secretária do Tesouro, Janet L. Yellen.
As tensões sobre o refúgio dos cibercriminosos na Rússia aumentaram significativamente este mês, depois que um grupo de ransomware manteve o cibercriminoso refém. redes de negócios em Colonial Pipeline. O ataque forçou a empresa a fechar um oleoduto que transporta quase metade de sua gasolina, diesel e querosene de aviação para a Costa Leste, provocando uma alta nos preços da gasolina e pânico nas compras na bomba.
Biden disse há duas semanas que “nós têm se comunicado diretamente com Moscou sobre o imperativo de que os países responsáveis tomem medidas decisivas contra essas redes de ransomware. ”
