As agências de segurança cibernética e de inteligência das nações dos Cinco Olhos emitiram um comunicado conjunto lançando luz sobre a evolução das táticas do notório ator de ameaça patrocinado pelo Estado russo, APT29. Esta entidade hacker, conhecido por vários pseudônimos, incluindo BlueBravo, Ursa Camuflada, Urso Acolhedor, e os duques, acredita-se que seja afiliado ao Serviço de Inteligência Estrangeiro Russo (SVR).
APT29 apresenta modus operandi aprimorado
Os holofotes sobre o APT29 se intensificaram após seu envolvimento no compromisso de alto perfil da cadeia de suprimentos do software SolarWinds. Contudo, últimos meses testemunharam um ressurgimento das suas actividades, com alvos notáveis, incluindo gigantes da tecnologia como Microsoft e Hewlett Packard Enterprise (HPE), entre outros. Os objectivos estratégicos do grupo parecem ser alimentados por uma busca incessante de Espionagem cibernética, aproveitando táticas sofisticadas para se infiltrar e comprometer organizações-alvo.
De acordo com o abrangente boletim de segurança divulgado pelas agências colaboradoras, O APT29 demonstrou uma adaptabilidade notável ao cenário em mudança da segurança cibernética. À medida que as organizações fazem a transição para uma infraestrutura baseada na nuvem, o ator da ameaça recalibrou seu modus operandi, afastando-se dos métodos convencionais de exploração de vulnerabilidades de software em redes locais.
Principais táticas empregadas pelo APT29, conforme descrito no comunicado, incluir:
- Acesso à infraestrutura em nuvem. APT29 emprega ataques de força bruta e pulverização de senha para obter acesso à infraestrutura em nuvem, segmentação de contas de serviço e inativas. Esta mudança significa um movimento estratégico no sentido de explorar vulnerabilidades inerentes aos sistemas baseados em nuvem.
- Acesso baseado em token. O ator da ameaça utiliza tokens para acessar as vítimas’ contas sem a necessidade de senhas, contornando os mecanismos de autenticação tradicionais e complicando os esforços de detecção.
- Técnicas de reutilização de credenciais. APT29 utiliza técnicas de pulverização de senhas e reutilização de credenciais para comprometer contas pessoais, empregando bombardeio imediato para contornar a autenticação multifator (MFA) requisitos. Subseqüentemente, os atores da ameaça registram seus próprios dispositivos para obter acesso não autorizado à rede.
- Proxies Residenciais. Para esconder suas verdadeiras origens e evitar a detecção, APT29 utiliza proxies residenciais para mascarar tráfego malicioso, tornando-o indistinguível da atividade legítima do usuário. Aproveitando endereços IP no provedor de serviços de Internet (ISP) faixas usadas para clientes residenciais de banda larga, os atores da ameaça camuflam efetivamente suas operações.
Em conclusão, a assessoria conjunta serve como uma prova dos esforços colaborativos das agências de segurança cibernética no tratamento de ameaças cibernéticas complexas. Ao revelar as táticas do APT29 e fornecer insights acionáveis, o aconselhamento capacita as organizações a melhorarem as suas defesas e a protegerem-se contra a ameaça generalizada da espionagem cibernética patrocinada pelo Estado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: