Microsoft revela novo golpe em massa dos hackers da SolarWinds em 24 países

Hackers do Nobelium fizeram um ataque por e-mail contra 150 organizações, mostra investigação da Microsoft

Emerson Alecrim
Por
• Atualizado há 2 anos e 5 meses
Grupo escondeu malware em logotipo do Windows (imagem ilustrativa: Darwin Laganzon/Pixabay)
Microsoft revela novo ataque do Nobelium (imagem: Darwin Laganzon/Pixabay)

A Microsoft descobriu que os hackers por trás do ataque à SolarWinds voltaram a agir. De acordo com a companhia, eles executaram, nesta semana, uma ação maliciosa por e-mail que visava cerca de 150 organizações de 24 países, incluindo os Estados Unidos. Entre os alvos estavam órgãos governamentais.

Identificado como Nobelium, o grupo hacker tem ligação com o Serviço de Inteligência Estrangeiro da Rússia, afirma a Microsoft. Para executar o ataque mais recente, os invasores tiveram acesso à conta da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) no serviço de marketing online Constant Contact.

O Microsoft Threat Intelligence Center (MSTIC) explica que, a partir dessa conta, o Nobelium disparou cerca de 3 mil e-mails para algo em torno de 150 organizações diferentes na última terça-feira (25).

Pelo menos um quarto dessas entidades está envolvida em projetos de desenvolvimento internacional, trabalho humanitário e direitos humanos.

Ataques por e-mail (phishing) são uma prática antiga e todo mundo sabe que precisa ter cuidado com isso. Mas a ação do Nobelium teve um diferencial: como os e-mails foram emitidos a partir da conta da USAID no Constant Contact, parecia que as mensagens eram legítimas.

E-mail malicioso enviado pelo Nobelium (imagem: divulgação/Microsoft)

E-mail malicioso enviado pelo Nobelium (imagem: divulgação/Microsoft)

Uma análise da Microsoft aponta que um link existente nos e-mails levava para um arquivo que, quando acionado, abria um relatório em PDF para distrair o usuário e, em segundo plano, executava um DLL que instalava o NativeZone, backdoor que dá abertura para várias ações, como roubo de dados e ataques a outros computadores na mesma rede.

Microsoft bloqueou ataques

O problema não ganhou uma dimensão trágica porque os ataques foram mitigados por ferramentas de segurança. A Microsoft explica, como exemplo, que o Windows Defender consegue barrar o NativeZone.

Mas não dá para considerar este um final feliz. Ao comentar a ação, o MSTIC fez algumas observações importantes. Uma delas: o Nobelium continua usando meios legítimos para atacar. Neste o grupo se infiltrou em um serviço de disparo de e-mails, mas, no ataque à SolarWinds, os invasores distribuíram um malware infectando uma atualização de um software da empresa.

Outra: a Microsoft afirma que as ações do Nobelium continuam centradas nos interesses do governo russo, o que explica o fato de organizações humanitárias e de direitos humanos estarem no alvo do grupo.

Por fim, a companhia alerta para a necessidade de regras claras serem estabelecidas para reger ações online ligadas a governos, incluindo aí a definição de consequências se essas normas forem violadas.

Receba mais sobre Microsoft na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Canal Exclusivo

Relacionados