Hackers do grupo APT29 adaptam táticas para acesso inicial à nuvem

Comunicado lança luz sobre a evolução das táticas do grupo de hackers que se acredita ser patrocinado pelo governo russo e atue como a divisão de hackers do Serviço de Inteligência Estrangeira do Kremlin
Da Redação
27/02/2024

Um recente comunicado conjunto divulgado pela Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA em colaboração com o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e outros parceiros nacionais e internacionais lança luz sobre a evolução das táticas do grupo de hackers APT29— também conhecido como Midnight Blizzard,  Cozy Bear, Dukes ou Nobelium —, que se acredita ser patrocinado pelo governo russo e atue como a divisão de hackers do Serviço de Inteligência Estrangeira (SVR) do Kremlin.

O comunicado, publicado nesta segunda-feira, 26, descreve as estratégias recentes do grupo para se infiltrar em ambientes de nuvem, uma mudança observada à medida que as organizações fazem cada vez mais a transição para infraestruturas baseadas em cloud.

Tradicionalmente, os operadores do APT29 dependiam da exploração de vulnerabilidades em redes locais. No entanto, eles se adaptaram para direcionar diretamente os serviços em nuvem. Essa mudança exige uma abordagem diferente à defesa, uma vez que os ambientes em nuvem exigem uma autenticação bem-sucedida para acesso, o que representa desafios para os atores da ameaça.

As atividades anteriores atribuídas aos hackers do APT29 incluem o comprometimento da cadeia de suprimentos do SolarWinds e o direcionamento de ataques a organizações envolvidas no desenvolvimento da vacina contra a Covid-19.

O último comunicado da CISA também destaca como as táticas do SVR se expandiram para atingir uma gama mais ampla de setores, incluindo aviação, educação, aplicação da lei e departamentos financeiros governamentais.

Observações recentes de pesquisadores de segurança indicam que os operadores do APT21 utilizam técnicas como força bruta, pulverização de senhas e exploração de contas inativas para obter acesso inicial. Além disso, eles aproveitam a autenticação de token baseada em nuvem e proxies residenciais para manter operações secretas e evitar a detecção.

As organizações são instadas a implementar medidas robustas de segurança cibernética, incluindo autenticação multifatorial (MFA), redefinições regulares de senha e políticas de acesso com privilégios mínimos. Detectar e mitigar as táticas do APT29 requer uma abordagem abrangente, combinando várias fontes de informação e indicadores de comprometimento.

O comunicado também destacou a importância de uma base robusta de segurança cibernética na defesa contra ameaças sofisticadas como o APT29.

Veja isso
Hackers ligados à Rússia usam bugs do Roundcube para ataques
HPE afirma que hackers russos violaram seus e-mails por 6 meses

“O APT29 é um operador sofisticado capaz de assumir um comprometimento global da cadeia de abastecimento, como o 2020 SolarWinds. No entanto, a orientação deste comunicado mostra que uma base sólida de fundamentos de segurança cibernética pode ajudar na defesa contra tais intervenientes”, alertou a CISA.

“Para as organizações que migraram para a infraestrutura em nuvem, a primeira linha de defesa contra o APT29 deveria ser a proteção contra as táticas, técnicas e procedimentos (TTPs) do grupo para acesso inicial. Ao seguir as mitigações descritas neste comunicado, as organizações estarão numa posição mais forte para se defenderem contra esta ameaça.”

Para obter informações detalhadas sobre as TTPs recentes do grupo, em inglês, clique aqui.

Compartilhar:

Últimas Notícias