O governo do Reino Unido alega que hackers russos tentaram roubar pesquisas com vacinas COVID-19
A pandemia de coronavírus está longe de terminar. Embora muitos países estejam diminuindo as restrições, o número de casos ainda está crescendo e as pessoas continuam a morrer todos os dias. É claro que a única solução é vacinar em massa a população, o que é obviamente muito difícil, considerando o fato de que uma vacina ainda não foi inventada.
Quanto mais cedo tivermos, mais vidas serão salvas, e você acha que, à luz de tudo isso, as nações mais poderosas do mundo reunirão seus especialistas mais inteligentes e os farão trabalhar em equipe, para que possamos ter um trabalho vacina o mais rápido possível. Você estaria errado.
Ao falar sobre o desenvolvimento de uma vacina para o novo coronavírus, John Demers, procurador-geral adjunto da segurança nacional dos EUA, disse que quem cria a vacina terá uma "história de sucesso geopolítica significativa". Em outras palavras, ele sugeriu que isso é uma competição, e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido considera que alguns dos concorrentes estão jogando sujo.
Índice
Reino Unido, EUA e Canadá: os russos estão atacando organizações que trabalham com uma vacina contra o coronavírus
Ontem, o NCSC publicou um relatório que também foi apoiado pelo Canadian Security Establishment (CSE), pelo Departamento de Segurança Interna dos Estados Unidos para a Agência de Segurança de Infra-estrutura de Segurança Cibernética (DHS CISA) e pela Agência de Segurança Nacional dos EUA (NSA). Ele diz que um grupo de hackers conhecido como APT29, Cozy Bear ou The Dukes tem como alvo organizações de saúde que trabalham com a vacina COVID-19 no Canadá, EUA e Reino Unido.
Considera-se um fato conhecido que o APT 29 é apoiado pelo governo russo e, com o relatório, o Reino Unido, os EUA e o Canadá acusam o Kremlin de tentar roubar dados relacionados à pesquisa e desenvolvimento de uma vacina COVID-19.
O APT29 é tão formidável como sempre
O relatório não menciona nenhuma das organizações visadas, mas diz que os ataques começaram no início de 2020 e continuam até hoje. O NCSC também reuniu uma explicação bastante detalhada de como os hackers do APT29 planejam e executam seus ataques.
Como muitas outras equipes de hackers, o APT29 realiza varreduras regulares e coleta informações sobre redes vulneráveis que estão enfrentando a Internet. Os hackers não têm como alvo todos os sistemas que encontram, mas provavelmente mantêm um registro deles para que possam invadi-los, se necessário.
Provavelmente, foi assim que eles escolheram os IPs que precisam ser atacados quando foram instruídos a coletar informações sobre até que ponto o Ocidente foi no desenvolvimento da vacina COVID-19.
Na maioria das vezes, os alvos são comprometidos usando uma lista de vulnerabilidades conhecidas em produtos da Citrix, FortiGate, Pulse Secure, Zimbra etc., embora o relatório também diga que, em alguns casos, os hackers coletam credenciais de login usando sofisticados spear-phishing ataques. Uma vez dentro da rede, o APT29 usa métodos diferentes para obter persistência e implementa algumas cepas de malware chamadas WellMess e WellMail.
Armas de escolha do APT29
O WellMess é a mais antiga das duas famílias de malware. Ele apareceu em 2018, mas é a primeira vez que alguém o associa ao APT29. Ele recebeu o nome de uma das funções do código e seu principal objetivo é executar comandos do shell e fazer o download e o upload de dados.
O WellMail é uma família de malware anteriormente não documentada que executa comandos na máquina infectada e envia os resultados de volta ao servidor de Comando e Controle (C&C). Seu nome também vem do uso repetido da palavra "mail" no código, além do fato de usar a porta 25 do servidor para se comunicar com o C&C.
Rússia: Não fizemos nada
O NCSC parece convencido de que o APT29 é responsável pelo ataque, e deve-se dizer que, se não estivesse confiante em suas reivindicações, provavelmente não o teria colocado em um relatório publicamente disponível.
A Rússia não está tão interessada em aceitar responsabilidades, no entanto. Segundo a BBC, um porta-voz do presidente Vladimir Putin negou qualquer conexão entre a Rússia e os ataques às organizações de desenvolvimento de vacinas. Por outro lado, as superpotências do mundo raramente admitem usar grupos sofisticados de hackers para espionar outros países; portanto, essa afirmação provavelmente deve ser tomada com uma dose de ceticismo.
De qualquer forma, se o que o NCSC diz é verdade, alguns dos hackers mais capazes do mundo estão atacando as instituições responsáveis pela criação de uma vacina que salvará milhares de vidas. Vamos torcer para que os ataques não atrapalhem muito o trabalho deles.
