As ações ofensivas da Rússia no ciberespaço devem ser uma preocupação para o CISO
As ações ofensivas da Rússia no ciberespaço devem ser uma preocupação para o CISO
Os recentes ataques cibernéticos contra entidades econômicas ocidentais que operam na Ucrânia também visam interromper negócios ou realizar espionagem. O CISO deve ter cuidado para que tais ataques não se espalhem além das fronteiras da Ucrânia.
Anne Neuberger, vice-conselheira de segurança nacional para segurança cibernética, reconheceu que “atualmente não há ameaças específicas credíveis para os Estados Unidos”, no entanto, ela continuou: “Trabalhamos com o setor privado, compartilhamos e compartilhamos informações específicas e estão pedindo medidas para reduzir os riscos de segurança cibernética de sua organização e dando conselhos muito específicos sobre como fazê-lo.” Essas palavras foram pronunciadas em 2 de fevereiro, durante uma coletiva de imprensa. Neuberger falou da presença contínua de ameaças cibernéticas russas à Ucrânia e além. Neuberger foi claro: “Estamos alertando há semanas e meses, tanto em privado quanto em público, que os ataques cibernéticos podem ser parte dos amplos esforços da Rússia para desestabilizar e invadir a Ucrânia. Os russos usaram o ciberespaço como elemento-chave do poder. projeção ao longo da última década, incluindo anteriormente na Ucrânia, no período de 2015.
Mais ou menos na mesma época, analistas de ameaças da Unidade 42 da Palo Alto Networks divulgaram informações sobre a detecção de ataques do “Gamaredon” (também conhecido como Armageddon, Primitive Bear, Shuckworm e Actinium) em uma entidade do governo ocidental (ainda não identificada) na Ucrânia. A propósito: Gamaredon foi identificado em novembro de 2021 pelo Serviço de Segurança Ucraniano (SSU) liderado por cinco funcionários russos do Serviço Federal de Segurança (FSB) trabalhando sob os auspícios do Centro de Segurança da Informação FSB de escritórios localizados na Crimeia ocupada pela Rússia.
Confira também:
Em novembro, a SSU destacou 5.000 ataques da Gamaredon por:
• Controle de instalações de infraestrutura crítica (centrais elétricas, sistemas de aquecimento e água).
• Aquisição de dados, incluindo roubo e coleta de inteligência, incluindo acesso restrito a informações (relacionadas ao setor de segurança e defesa e órgãos governamentais).
• Ganhar um impacto mediático e psicológico.
• Sistemas de informação de retenção.
O Relatório Técnico da SSU sobre Ataques Gamaredon detalha a composição do grupo, bem como seu caminho da obscuridade para uma ameaça real à infraestrutura nacional e uma ameaça credível nas atividades de ataque de inteligência cibernética.
O relatório da Unidade 42 destaca os esforços do Grupo Gamaredon para aproveitar as necessidades individuais excepcionais da Ucrânia pela unidade governamental ocidental. O grupo enviou o CV do candidato em formato Word. A Jamaridon aposta que o currículo enviado pelo “candidato” não estará sujeito aos mesmos controles dos e-mails de phishing recebidos pelos grupos. O relatório também se refere ao relatório da equipe estoniana CERT de 27 de janeiro de 2021 sobre Gamaredon, que indicou que, a partir de 2020, o grupo Gamaredon alvejou países da União Europeia usando técnicas de spear phishing (este é um método de ataque cibernético usado por hackers para roubar informações confidenciais ou instalar malware em dispositivos de vítimas específicas).
Enquanto isso, a equipe Threat Hunter da Symantec publicou seu próprio estudo em 31 de janeiro de 2022, afirmando que a Shuckworm é especializada em “espionagem cibernética”, o que está de acordo com a descoberta da SSU em novembro de 2021. O relatório da equipe Threat Hunter inclui um estudo de caso interessante da série ataque Gamaredon que começou com um documento malicioso. O cronograma do estudo de caso abrange o período de 14 de julho a 18 de agosto de 2021.
Em breve, em 4 de fevereiro, o Centro de Inteligência de Ameaças da Microsoft e a Unidade de Segurança Digital compartilharam informações sobre a ameaça representada pelo grupo ACTINIUM, que tem como alvo a Ucrânia há dez anos. O relatório enfatizou que o alvo desse grupo é o governo, os militares, as organizações não governamentais, o judiciário, a aplicação da lei e as organizações sem fins lucrativos. As descobertas da Microsoft refletem as de outros analistas de que os esforços do grupo estão focados na solicitação de informações privilegiadas e na obtenção de uma base para o acesso sustentável.
Neuberger concluiu que os Estados Unidos estão trabalhando com a União Europeia e a OTAN para “aumentar a resiliência nacional e aliada no ciberespaço”. Ela enfatizou que os esforços dos EUA visam fornecer planos de contingência no ciberespaço para “coordenar e apoiar a Ucrânia e uns aos outros no caso de tais incidentes… Trabalhamos com o setor privado compartilhando e trocando informações específicas e solicitando que eles tenham agido para reduzir riscos de segurança cibernética.” para sua organização e dando conselhos muito específicos sobre como fazê-lo.
À luz do exposto, e com o aumento das tensões na Ucrânia, em 9 de fevereiro, as autoridades de segurança cibernética nos Estados Unidos, Austrália e Reino Unido emitiram uma recomendação conjunta sobre a crescente ameaça global de ransomware (Alerta (AA22-040A)). O aviso destaca o aumento observado nos incidentes de ransomware em 14 dos 16 setores de infraestrutura crítica nos Estados Unidos.
David Klein, Cyber Evangelist do Cymulate, comentou: “O CISO deve levar em consideração este alerta de vários comandos cibernéticos, pois reconhece que a atividade ofensiva e destrutiva dos Estados Unidos contra criminosos de ransomware fez com que algumas organizações criminosas desviassem a atenção dos objetivos do ‘jogo’ E eles passaram para alvos de tamanho médio mais fáceis. No clima atual, o tamanho claramente não é específico para ser um alvo.
Sobre o autor
Christopher Burgess trabalhou com a Agência Central de Inteligência (CIA) por mais de 30 anos. Co-autor de Stolen Secrets, Lost Fortune, Preventing Intellectual Property Theft and Economic Espionage in the Twenty-First Century.
Fonte: CSO
.