Departamento de Justiça dos EUA derruba rede de malware administrada por atores russos
O Departamento de Justiça dos EUA (DOJ) declarou na terça-feira que derrubou uma rede mundial de computadores infectados com malware, que os serviços de segurança do estado russo supostamente usaram por quase duas décadas para extrair informações classificadas dos Estados Unidos e aliados da OTAN.
A iniciativa, de codinome "MEDUSA", visa eliminar o malware "Snake" utilizado por uma unidade dentro do FSB russo chamada "Turla", que os especialistas cibernéticos consideram um dos grupos de espionagem cibernética mais avançados do mundo. O FBI criou uma ferramenta chamada "PERSEUS", que neutraliza o malware Snake sem afetar o computador host ou aplicativos legítimos, após receber permissão de um juiz no Brooklyn para conceder acesso a computadores contaminados. O malware Snake teve como alvo países membros da OTAN, instituições financeiras, jornalistas e outros alvos do governo russo, desde 2004.
O FBI informou todas as vítimas cujos computadores foram acessados na operação MEDUSA, e os Estados Unidos e os parceiros da Five Eyes emitiram um comunicado conjunto sobre segurança cibernética que inclui informações técnicas detalhadas sobre o malware para que especialistas em segurança cibernética possam detectar se outras redes foram potencialmente infectadas. Depois de obter acesso às redes, o grupo Turla é conhecido por usar uma ferramenta "keylogger" que rouba senhas de contas e outras credenciais de autenticação, representando uma ameaça contínua para alguns dos indivíduos visados.
O que são agentes de ameaças patrocinados pelo Estado e como eles costumam ser aproveitados na espionagem cibernética internacional?
Atores de ameaças patrocinados pelo Estado são cibercriminosos que recebem apoio de governos nacionais para realizar ataques cibernéticos, espionagem cibernética ou outras atividades maliciosas contra nações, organizações ou indivíduos estrangeiros. Esses atores geralmente são altamente qualificados e bem financiados, e operam com o objetivo de promover os interesses estratégicos e econômicos de seus respectivos países.
Os agentes de ameaças patrocinados pelo Estado normalmente visam uma ampla gama de alvos, incluindo agências governamentais, instituições militares, infraestrutura crítica, instituições financeiras, universidades e empresas privadas. Eles podem usar uma variedade de táticas, como spear phishing, malware, engenharia social e explorações de dia zero para obter acesso não autorizado a sistemas direcionados ou roubar dados confidenciais.
Essas campanhas de ciberespionagem geralmente começam com reconhecimento para identificar sistemas vulneráveis e informações de interesse. Assim que o acesso for obtido, os agentes de ameaças se moverão lateralmente pela rede para aumentar seus privilégios e coletar dados confidenciais. Em alguns casos, eles podem implantar backdoors, malware ou outras ferramentas para manter o acesso de longo prazo aos sistemas comprometidos e continuar suas operações sem serem detectados.
Atores de ameaças patrocinados pelo Estado são frequentemente aproveitados em campanhas internacionais de espionagem cibernética para obter uma vantagem estratégica sobre outras nações ou para roubar propriedade intelectual valiosa. Os ataques podem ser usados para promover objetivos políticos, militares, econômicos ou diplomáticos, e os dados roubados podem ser usados para informar políticas nacionais, informar decisões de negócios ou vendidos com fins lucrativos na dark web. O impacto potencial das campanhas de ciberespionagem patrocinadas pelo Estado pode ser grave, incluindo a perda de infraestrutura crítica, danos à segurança nacional e perdas financeiras significativas para indivíduos e organizações.