Estudo revela estratégias do grupo hacker patrocinado pelo governo da Rússia

APT28 atua desde 2007 na defesa dos interesses do país, tendo sido responsável pelo escândalo de ciberespionagem nas eleições presidenciais norte-americanas em 2016, entre outros eventos

O Departamento de Segurança Interna americana e o FBI (Federal Bureau Investigation, em inglês) divulgaram no último 29 de dezembro um relatório de análise conjunta que confirma a longa pesquisa pública realizada pela FireEye, a qual indica que o grupo APT28 é responsável por operações extensivas em apoio aos interesses estratégicos russos, principalmente no que tange à questões de defesa e geopolítica.

 

De acordo com Laura Galante, diretora de inteligência contra ameaças da FireEye, o conteúdo do relatório revela muito mais do que a posição política assumida pela Rússia durante as eleições presidenciais norte-americanas em 2016 que culminaram na vitória do candidato republicano Donald Trump. “Agora o ponto mais importante é compreender como são executadas as operações bem-sucedidas da Rússia para angariar informação – incluindo intrusões e vazamentos – com o objetivo de enfraquecer instituições, governos e demais atores que, de acordo com a percepção do governo russo, constringem e condenam suas atividades.”

 

Em atuação desde 2007, o APT28 ganhou maior relevância nos últimos dois anos ao realizar atividades de intrusão. “As operações destinadas às eleições americanas são apenas o último exemplo de uma capacidade pouco compreendida e que já foram utilizadas contra a OTAN (Organização do Tratado do Atlântico Norte), governo alemão, organizações de mídia e indivíduos-chave”, conclui Laura Galante, da FireEye.

 

O malware e as táticas do APT28 – Emprega-se um conjunto de malware com características indicativas dos planos do grupo para operações contínuas, bem como o acesso do grupo a recursos e desenvolvedores qualificados, realizados com auxílio de um framework modular, ambiente de código formal e capacidade de incorporar análise de contagem.

 

Estas ferramentas utilizadas na condução das operações evidenciam o apoio do governo da Rússia, uma vez que 97% das amostras de malware foram compiladas durante os dias da semana em que há expediente, sendo 88% destas no período entre 8h e 18h no fuso horário de cidades como Moscou e St. Petersburgo. Além disso, os desenvolvedores do APT28 construíram malware com configuração em idioma russo até 2013.

 

O ataque costuma acontecer de quatro principais formas: infecção com malware via spear-phish; acesso ao webmail via spear-phish; malware via comprometimento estratégico na web (SWC, sigla em inglês); e acesso a servidores de internet. Cada uma destas táticas acontece em quatro ou cinco etapas até que a rede da vítima seja complemente invadida.

 

Depois de comprometer a organização vítima, o APT28 rouba os dados internos, os quais são compartilhados e alinhados às políticas e interesses russos.

 

Conclusão

 

Desde 2014 foram vistas mudanças no formato do ataque tais quais: exploração de vulnerabilidades zero-day; utilização de script de perfil para implantar zero-day e ferramentas, como forma de dificultar o acesso aos instrumentos do grupo; aumento do uso de depositórios de códigos públicos, como Carberp e PowerShell Empire; obtenção de credenciais através de pedidos de autorização de acesso fabricados no Google App e  Oauth, que permitem ao grupo transpor fatores de dupla autenticação e outras medidas de segurança;  movimentos laterais em rede utilizando apenas ferramentas legítimas já existentes no sistema da vítima.

 

Embora existam outras nações com orçamento e sofisticação técnica para desenvolver e manter a qualidade das ferramentas utilizadas nas operações do APT28, nenhum destes governos teria se beneficiado com o comprometimento e vazamento de informações prejudiciais sobre a gama de metas perseguidas pelo grupo – o foco de atuação na cooperação de segurança europeia, governo dos Estados Unidos, instituições democráticas ocidentais e postos diplomáticos, elevam a Rússia como o mais provável mantenedor.

 

Por outro lado, a infraestrutura usada para controlar as operações da APT28 teria sido facilmente interrompida por Moscou, caso o governo não aprovasse ações independentes conduzidas em solo russo. As explicações alternativas para o patrocínio do APT28 só parecem plausíveis quando apresentadas para explicar um incidente de cada vez, e não são críveis ao analisar a totalidade das operações.

 

Ao combinar uma ampla gama de inteligência técnica, soluções práticas de sistemas comprometidos, análise de mídia social controlada pela Rússia e compreensão dos objetivos geopolíticos com base nas próprias declarações públicas do governo russo, atribui-se aos russos o patrocínio e controle do APT28.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365