Um ano após o notório vazamento da SolarWinds, o grupo hacker responsável pelo ataque ressurge com um conjunto potencialmente sério de violações contra provedores de computação em nuvem.
Pesquisadores da Mandiant afirmam que o grupo hacker UNC2452 e suas ramificações, patrocinados pelo Estado da Rússia, vêm buscando invadir as redes de um provedor de computação em nuvem, mirando usuários finais para então invadir os sistemas dos provedores. De acordo com o relatório da Mandiant, os hackers da SolarWinds já obtiveram um certo sucesso com a campanha.
“Em pelo menos uma instância, os atores de ameaças identificaram e comprometeram uma conta local de VPN e se utilizou dessa conta para reconhecer e ganhar acesso aos recursos internos no ambiente cloud da vítima, o que enfim levou ao comprometimento das contas de domínio internas”, diz o relatório.
Entre as ferramentas identificadas pelo time estava um novo pacote de dropper de malware e instâncias do Beacon, o backdoor Cobalt Strike (um preferido dos penetration tests e operadores de ransomware).
Segundo Doug Bienstock, da Mandiant, os hackers da SolarWinds estão tentando usar a rede dos provedores de nuvem como a primeira fase de um ataque de downstream.
“Na verdade, são os clientes do provedor de serviços os alvos finais dos hackers”, explica Bienstock. “Os cibercriminosos miram provedores de serviços em nuvem para tirar vantagem do acesso legítimo e muitas vezes privilegiado que os provedores possuem na rede dos seus consumidores. Então, os hackers abusam desse acesso legítimo do provedor para finalmente comprometer as redes dos clientes do serviço cloud”.
Ataques à cadeia de abastecimento contra provedores de serviços de nuvem e de TI se tornaram uma espécie de “cartão de visitas” do grupo hacker russo, também chamado pela Microsoft de “Nobelium”. No ano passado, os cibercriminosos foram às manchetes quando conseguiram invadir a rede da SolarWinds e sorrateiramente alterar o código de um dos seus pacotes de atualização para softwares de gerenciamento de TI.
A atualização deturpada resultou em um malware backdoor distribuído a milhares de companhias que confiavam nos produtos de gerenciamento da SolarWinds. Com isso, tanto as redes de empresas privadas, quanto governamentais se tornaram alvos de futuras invasões pelo Nobelium.
A Microsoft e o governo dos EUA acreditam que o grupo opera sob a direção ou apoio do governo da Rússia, uma vez que muitos dos seus alvos são agências governamentais ou empresas fornecedoras de serviços.
FONTE/LEIA MAIS: SearchSecurity
Crédito da imagem: freepik
