Quando a utilização de serviços de confiança é combinada com a encriptação, torna-se extremamente difícil para as organizações detetar atividade maliciosa, algo que os cibercriminosos exploram.
Por Irene Iglesias Álvarez
Organizações de todo o mundo confiam no que são considerados serviços de armazenamento online de confiança, tais como o Dropbox e o Google Drive, para executar as suas operações quotidianas. Contudo, pesquisas recentes da Paloalto Networks revelam que os cibercriminosos estão a encontrar formas de aproveitar essa confiança para tornar os seus ataques extremamente difíceis de detetar e prevenir.
As últimas campanhas por uma ameaça persistente avançada (APT) que rastrearam como Cloaked Ursa (também conhecida como APT29, Nobelium ou Cozy Bear) demonstram a sofisticação e a capacidade de integrar rapidamente serviços populares de armazenamento em cloud para evitar a deteção.
A utilização de serviços legítimos e de confiança na cloud não é inteiramente nova para este grupo. Assim, com o foco nesta tendência, foi descoberto que as suas duas últimas campanhas aproveitaram pela primeira vez os serviços de armazenamento em cloud do Google Drive. A natureza omnipresente dos serviços de armazenamento em cloud do Google Drive, combinada com a confiança neles depositada por milhões de clientes em todo o mundo, torna a sua inclusão no processo de entrega de malware deste APT excecionalmente preocupante. Quando a utilização de serviços de confiança é combinada com a encriptação, torna-se extremamente difícil para as organizações detetar atividade maliciosa.
Afiliação ao governo russo?
A indústria da cibersegurança há muito que considera a Cloaked Ursa como afiliada do governo russo. Isto está de acordo com a abordagem histórica do grupo, que remonta às campanhas de malware contra a Chechénia e outros países do antigo bloco soviético, em 2008. Nos últimos anos, o hacking de 2016 do Comité Nacional Democrático dos EUA (DNC) também foi atribuído ao grupo, bem como os compromissos da cadeia de fornecimento SolarWinds, em 2020. Aumentando a especificidade da atribuição, tanto os EUA como o Reino Unido apontaram publicamente a adesão do grupo ao Serviço de Informações Externas da Rússia (FIS).
Campanhas de Phishing
Durante os últimos seis meses, os cibercriminosos por detrás da Cloaked Ursa lançaram várias campanhas de phishing dirigidas a missões diplomáticas estrangeiras, de acordo com a própria investigação.
Desde o início de maio, a Cloaked Ursa tem continuado a desenvolver as suas capacidades para fornecer malware utilizando serviços populares de armazenamento online. As suas duas campanhas mais recentes demonstram a sua sofisticação e a sua capacidade de ofuscar a implantação do seu malware utilizando os serviços DropBox e Google Drive. Esta é sem dúvida a nova tática empregue por este ator difícil de detetar devido à natureza omnipresente destes serviços e ao facto de milhões de clientes em todo o mundo confiarem neles.