Pesquisadores de segurança cibernética detalham ataques que exploram serviços de nuvem legítimos na tentativa de acessar dados confidenciais
Uma campanha de invasão e espionagem cibernética está abusando de serviços de nuvem legítimos como parte de uma operação para roubar informações confidenciais de alvos importantes.
Organizações em todo o mundo usam serviços em nuvem para realizar operações diárias, principalmente após a adesão ao trabalho remoto ou híbrido como consequência da pandemia do novo coronavírus.
No entanto, não são apenas as empresas e os colaboradores que estão usufruindo dos serviços em nuvem.
APT explora serviços como Dropbox e Google Drive para ataques
De acordo com pesquisadores de segurança cibernética da Unit 42, da Palo Alto Networks, é exatamente isso que os hackers que trabalham em nome de um grupo de ameaças persistentes avançadas (APT) apelidado de Cloaked Ursa – também conhecido como APT29, Nobelium e Cozy Bear – estão fazendo.
Acredita-se que o grupo esteja ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR), responsável por vários ataques cibernéticos importantes, incluindo o ataque à cadeia de suprimentos contra a SolarWinds, o hack do Comitê Nacional Democrata dos EUA (DNC) e campanhas de espionagem direcionadas a governos e embaixadas ao redor do mundo.
Agora, eles estão tentando usar serviços de nuvem legítimos, como o Google Drive e o Dropbox – e já usaram essa tática como parte de ataques que ocorreram entre maio e junho deste ano.
Os ataques começam com e-mails de phishing enviados para alvos em embaixadas europeias, se passando por convites para reuniões com embaixadores e com uma suposta agenda anexada em PDF.
O PDF é malicioso e, se funcionasse como pretendido, chamaria uma conta do Dropbox administrada pelos invasores para entregar secretamente o Cobalt Strike – uma ferramenta de teste de penetração popular entre cibercriminosos – ao dispositivo da vítima. No entanto, essa chamada inicial não teve sucesso no início deste ano, algo que os pesquisadores sugerem que se deve a políticas restritivas em redes corporativas sobre o uso de serviços de terceiros.
Mas os invasores se adaptaram, enviando e-mails de phishing semelhantes como uma segunda isca, mas usando a comunicação com as contas do Google Drive para ocultar suas ações e implantar o Cobalt Strike e cargas úteis de malware nos ambientes de destino. Parece que essa greve não foi bloqueada, provavelmente porque muitos locais de trabalho usam aplicativos do Google como parte das operações diárias, portanto, bloquear o Drive seria visto como ineficiente para a produtividade.
“Os invasores continuarão a inovar e encontrar maneiras de evitar a detecção para atingir seus objetivos. Usar o Google Drive e o DropBox é uma maneira de baixo custo para alavancar aplicativos confiáveis”, disse um pesquisador da Unit 42.
“Em termos simples, significa que você pode facilmente obter um número X de contas do Google gratuitamente e usá-las para coletar informações e hospedar malware. Você não precisa mais comprar sua infraestrutura C2 típica, que pode ser facilmente bloqueada”.
É preciso estar alerta para as ameaças a sistemas em nuvem
Como muitas campanhas dessa natureza, é provável que a intenção fosse usar malware para criar um backdoor em uma rede infectada e roubar informações confidenciais, seja para uso em novos ataques ou para serem exploradas de outras maneiras. A Unit 42 não detalhou se as campanhas se infiltraram com sucesso nas redes ou não.
A Unit 42 alertou tanto o Dropbox quanto o Google sobre abuso de seus serviços e medidas foram tomadas contra as contas usadas como parte de ataques.
“O Grupo de Análise de Ameaças do Google acompanha de perto a atividade do APT29 e troca informações regularmente com outras equipes de inteligência de ameaças, como a Palo Alto Networks, para o bem do ecossistema de segurança global. Nesse caso, estávamos cientes da atividade identificada neste relatório e já havíamos medidas proativas para proteger quaisquer alvos em potencial”, disse Shane Huntley, diretor sênior do Grupo de Análise de Ameaças do Google, à imprensa.
“Podemos confirmar que trabalhamos com nossos parceiros do setor e os pesquisadores sobre esse assunto e desativamos as contas de usuário imediatamente”, declarou um porta-voz do Dropbox.
O uso de serviços em nuvem oferece muitos benefícios para empresas e funcionários, mas é importante garantir que a segurança de aplicativos e serviços em nuvem seja gerenciada adequadamente para evitar que essas ferramentas sejam exploradas por criminosos cibernéticos.
Quer manter sua empresa protegida? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!