Você já se perguntou como grupos de hackers conseguem acesso a sistemas críticos em todo o mundo? Hoje, vamos explorar uma descoberta alarmante envolvendo o Sandworm, um grupo de hackers ligado à inteligência militar russa. Prepare-se para descobrir como eles roubaram credenciais e dados de organizações na América, Grã-Bretanha e outros países!
A Infiltração Global do Sandworm
Recentemente, foi descoberto que um subgrupo do Sandworm, conhecido como “Seashell Blizzard” pela Microsoft, realizou uma campanha de acesso inicial quase global, chamada “BadPilot”, desde pelo menos 2021. Essa campanha visou, inicialmente, a Ucrânia, mas em 2023 expandiu-se para diversos setores em várias regiões do mundo – Estados Unidos, Europa, Ásia Central e Oriente Médio. Em 2024, o foco se estreitou para EUA, Reino Unido, Canadá e Austrália.
Métodos e Alvos
O grupo utilizou diversos métodos para comprometer a infraestrutura de internet das vítimas, focando em setores estratégicos como energia, petróleo e gás, telecomunicações, navegação, indústria bélica e governos internacionais. Eles exploraram vulnerabilidades em softwares amplamente utilizados, incluindo Microsoft Exchange, Zimbra Collaboration, OpenFire, JetBrains TeamCity, Microsoft Outlook, Connectwise ScreenConnect, Fortinet FortiClient EMS e JBOSS.
Após o acesso, o Sandworm estabelecia persistência nos sistemas comprometidos. Em alguns casos, esse acesso prolongado antecedeu ataques destrutivos, sugerindo que a persistência é uma etapa crucial para os planos do grupo.
Técnicas Sofisticadas de Acesso Remoto
A partir do início de 2024, o subgrupo começou a usar ferramentas legítimas de gerenciamento e monitoramento remoto (RMM), como Atera Agent e Splashtop Remote Services, para se manterem nos sistemas e se comunicar com seus servidores de comando e controle (C2). Essa tática auxilia a disfarçar suas atividades, dificultando a detecção pelos sistemas de segurança.
Após a invasão, o grupo instalava o software RMM e usava suas funcionalidades para implantar cargas secundárias. Essas cargas tinham por objetivo roubar credenciais, exfiltrar dados confidenciais e instalar ferramentas personalizadas para obter mais acesso aos sistemas comprometidos.
ShadowLink: A Conexão Oculta
Uma técnica particularmente interessante utilizada pelo Sandworm é o ShadowLink. Com ele, os hackers configuram o sistema da vítima para se registrar como um serviço oculto Tor, recebendo um endereço “.onion”. Isso permite o acesso remoto via rede Tor, dificultando ainda mais a rastreabilidade das ações maliciosas.
A utilização do ShadowLink evita a necessidade de um cavalo de Tróia de acesso remoto (RAT), que poderia ser facilmente detectado e removido pelos sistemas de segurança.
Conclusão
A campanha BadPilot do Sandworm demonstra a sofisticação e a persistência das operações cibernéticas russas. A utilização de vulnerabilidades conhecidas, ferramentas legítimas de RMM e a tecnologia ShadowLink para persistência oculta evidencia a capacidade do grupo em se manter discreto e alcançar seus objetivos. O foco em setores estratégicos e a abrangência da campanha evidenciam a gravidade da ameaça. A detecção e mitigação dessas ameaças exigem vigilância constante e atualização constante dos sistemas de segurança.
Deixe seu comentário abaixo compartilhando suas impressões sobre essa notícia e como podemos nos proteger melhor contra esse tipo de ataque.
Fonte: The Register
