A Amazon revelou na última sexta-feira (29) a interrupção de uma grande campanha maliciosa que tinha como alvo as contas de usuários do Microsoft 365. A ação era conduzida pelo APT29, grupo de cibercriminosos associado ao serviço de inteligência da Rússia, conhecido pela utilização de táticas sofisticadas.
Segundo a gigante da tecnologia, o ataque cibernético objetivava o acesso aos perfis e dados de assinantes da plataforma da Microsoft, induzindo-os a autorizar dispositivos controlados pelos invasores. A operação seguia o mesmo padrão de atividade observado em uma campanha identificada em outubro do ano passado.
Como os hackers russos agiam neste ciberataque?
Também conhecido como Midnight Blizzard, o grupo russo realizava um ataque do tipo “watering hole”, no qual sites legítimos acessados com frequência por um determinado tipo de usuário são comprometidos. A partir daí, eles redirecionavam os alvos para a infraestrutura maliciosa.
- Neste caso, o APT29 injetou scripts em páginas reais para levar as vítimas selecionadas até sites de verificação da Cloudflare fraudulentos;
- O redirecionamento afetava cerca de 10% dos visitantes e havia um sistema baseado em cookies para evitar que a mesma pessoa passasse várias vezes pelo processo, o que levantaria suspeitas;
- Em seguida, os invasores induziam a vítima a digitar um código de autenticação gerado por eles próprios, autorizando o acesso à conta por meio do dispositivo controlado pelo grupo;
- A funcionalidade explorada é a mesma utilizada para efetuar login em TVs e consoles de maneira fácil por meio de um código de autenticação.
Aproveitando o método altamente eficaz e que não despertava suspeitas na vítima, os cibercriminosos conseguiam acessar dados sigilosos armazenados em serviços do Microsoft 365, bem como emails e outras informações sensíveis guardadas ali. Os alvos principais eram usuários corporativos.
Conforme a Amazon, os invasores ainda tentaram mover sua infraestrutura para outro serviço na nuvem e até criaram novos sites falsos de verificação da Cloudflare para continuar enganando as vítimas. No entanto, a equipe de segurança da companhia conseguiu rastreá-los mais uma vez, interrompendo a operação.
Como se proteger de ataques do tipo?
O ataque mais recente do APT29 demonstra que as ameaças virtuais estão mais avançadas no roubo de senhas e na espionagem, como observou a Amazon. Dessa forma, a empresa recomenda que os usuários redobrem a atenção em relação aos redirecionamentos suspeitos, especialmente os disfarçados de páginas de verificação de segurança.
Também é importante confirmar a autenticidade das solicitações de autorização de dispositivos antes de aprová-las, habilitar a autenticação multifator e evitar a execução de comandos copiados da web. Já para os administradores de TI, a big tech sugere seguir as diretrizes de segurança da Microsoft sobre esse tipo de processo, aplicar políticas de acesso condicional e monitorar eventos suspeitos.
Gostou do conteúdo? Continue acompanhando as últimas notícias no TecMundo e não se esqueça de compartilhá-las com os amigos nas redes sociais.