Portal de documentos do governo da Ucrânia sofre ataque cibernético
No final de fevereiro de 2021, o governo ucraniano relatou um ataque cibernético à infraestrutura de compartilhamento de documentos do governo. O centro de cibersegurança do país afirmou que os "métodos e meios" do ataque sugerem o envolvimento de um "grupo de espiões hackers" originário da Rússia.
O ataque teve como alvo o Sistema de Interação Eletrônica de Órgãos Executivos, um portal ucraniano usado para compartilhar documentos entre órgãos governamentais e autoridades públicas.
Autoridades ucranianas descobriram documentos maliciosos carregados no portal que continham macros. Esta não é uma abordagem de ataque incomum ou particularmente nova, mas infelizmente uma que ainda funciona muito bem.
Depois que um documento malicioso é aberto, ele pede ao usuário para permitir a execução da macro. Se a permissão for concedida, os scripts de macro baixariam silenciosamente a carga real de qualquer malware que os malfeitores por trás do ataque prepararam.
Esse tipo de vetor de ataque pode ser usado para distribuir todas as formas de cargas úteis de segundo estágio, de cavalos de Tróia e backdoors a scrapers de informações, keyloggers e ransomware.
As autoridades ucranianas não nomearam nenhum órgão ou grupo em particular com um nome codificado, mas disseram que o ataque continha vários indicadores de comprometimento, incluindo o domínio enterox.ru, bem como um endereço IP e uma página PHP hospedada nele .
Com base na pesquisa conduzida pela equipe de segurança do ZDNet, o nome de domínio provavelmente indicou que o ataque está vinculado ao APT Gamaredon. O Gamaredon é considerado um grupo de hackers patrocinado pelo Estado, operando na Rússia, que já lançou ataques a redes ucranianas no passado.
Poucos dias antes do anúncio deste ataque, as autoridades ucranianas também relataram que malfeitores russos visaram várias instituições ucranianas diferentes, incluindo o site do Serviço de Segurança do país, com ataques distribuídos de negação de serviço.