Email da “embaixada de Portugal” usado para tentar atacar países da NATO

Os emails falsos, que prometiam encontros com embaixadores portugueses, incluíam ligações para sites de armazenamento online conhecidos, como o GoogleDrive e a Dropbox. O alerta foi feito pela empresa de cibersegurança Palo Alto Networks, que avança que os atacantes têm ligações aos serviços secretos da Rússia.

hackers,eua,tecnologia,ciberseguranca,america,russia,
Fotogaleria
O email falso, que prometia reuniões com embaixadores de Portugal, foi usado para tentar atacar missões diplomáticas ocidentais LUSA/HUGO DELGADO
hackers,eua,tecnologia,ciberseguranca,america,russia,
Fotogaleria
Imagem do email usado pelos atacantes DR

Emails falsos enviados em nome de embaixadas portuguesas, com a imagem de um brasão de armas de Portugal, foram usados para tentar roubar credenciais de vários países da NATO durante Maio e Junho. O alerta foi feito esta terça-feira, 19 de Julho, pela Unit 42, a unidade de investigação de ameaças da empresa de cibersegurança norte-americana Palo Alto Networks. A equipa acredita que o grupo ​Cloaked Ursa está por detrás do esquema: trata-se de uma comunidade de ciber-atacantes russos com ligações aos serviços secretos da Rússia (o grupo também é conhecido por ATP29, Nobelium e Cozy Bear).

“Acredita-se que estas campanhas tenham visado várias missões diplomáticas ocidentais entre Maio e Junho de 2022”, explica a equipa da Unit42 num relatório publicado esta terça-feira. “Os documentos de phishing continham uma ligação a um ficheiro HTML malicioso.” O grupo também usou emails falsos assinados pela “embaixada do Brasil” (neste caso, porém, os hackers escreveram “Brzail” em vez de “Brasil")

Para parecer mais confiável, os email falsos, que eram escritos em inglês e prometiam encontros com embaixadores portugueses, incluíam ligações para sites de armazenamento online conhecidos, como é o caso do GoogleDrive e da Dropbox. Os ficheiros armazenados nestes sites (em teoria, a agenda dos embaixadores portugueses) é que tinham conteúdo malicioso (o EnvyScout) que criava uma porta de entrada para os atacantes nos computadores das vítimas.

A Google e a Dropbox barraram o acesso a estes ficheiros, depois de serem notificadas pela Palo Alto Networks. A empresa de cibersegurança alerta, no entanto, que este tipo de ciberataques deve tornar-se mais comum devido à “confiança que milhões de clientes” depositam em serviços como a Dropbox e a Google Drive e à frequência com que são usados em ambiente profissional.

Foto
Imagem do email usado pelos atacantes DR

Phishing com alvo

De acordo com a Palo Alto Networks, o objectivo dos atacantes era obter credenciais de missões diplomáticas de países da NATO. Tratava-se de uma campanha de spear-phishing. Tal como o phishing tradicional, os atacantes usam emails falsos (por exemplo, em nome de um banco ou rede social) para convencer alguém a fornecer dados pessoais ou a instalar ficheiros maliciosos. Só que em vez de os atacantes enviarem emails a um público vasto, com a ambição de infectar o maior número possível de computadores, no spear-phishing existem alvos específicos. Neste caso, missões diplomáticas de países da NATO.

O PÚBLICO contactou o Ministério dos Negócios Estrangeiros, ao final da tarde de terça-feira, para saber se há nota de ciberataques desencadeados através deste esquema em específico, mas não obteve resposta até à hora de publicação deste artigo.

Esta não é a primeira vez que Portugal está na mira de ciber-atacantes russos. No final de Fevereiro, a revista Sábado avançou que o Ministério dos Negócios Estrangeiros foi alvo de um ciberataque lançado por ciber-operacionais russos. Uma das consequências deste ataque, cuja causa não foi divulgada, foi a interrupção do serviço de email do MNE, encontrando-se os diplomatas e os serviços do Palácio das Necessidades sem acesso ao correio electrónico durante vários dias.

Há muito que a indústria de cibersegurança atribui os ataques do grupo Cozy Bear a Moscovo. Especialistas de cibersegurança de todo o mundo acreditam que o grupo está por detrás do ataque aos servidores do Comité Nacional do Partido Democrata, em 2016, que levou ao roubo e divulgação de milhares de emails internos.

O grupo também está associado ao ataque da SolarWinds Corp, uma empresa sediada no Texas que desenvolve programas de cibersegurança para empresas e para uma série de entidades governamentais, desde o Pentágono ao Departamento de Estado. Ao inserir códigos maliciosos numa actualização de programa de segurança, os piratas informáticos puderam explorar as redes de computadores de empresas privadas, think tanks e agências governamentais durante meses.

É a primeira vez que o grupo usa serviços de armazenamento na nuvem para desencadear os ataques.“Esta é uma nova táctica para estes atacantes que se revela desafiante de detectar devido à natureza omnipresente destes serviços e ao facto de milhões de clientes em todo o mundo confiarem neles”, insiste a empresa de cibersegurança Palo Alto Networks na conclusão do relatório. “Encorajamos todas as organizações a reverem as suas políticas de correio electrónico.”

Sugerir correcção
Comentar