Um agente estatal russo conhecido como Secret Blizzard estaria por trás de uma campanha de ciberespionagem contra embaixadas localizadas em Moscou pelo menos desde 2024, segundo uma análise da Microsoft Threat Intelligence.
O ataque é realizado através do malware personalizado ApolloShadow, que induz dispositivos a confiar em sites controlados por agentes maliciosos — assim, eles têm acesso aos aparelhos diplomáticos para coleta de inteligência.
“Esta campanha representa um alto risco para embaixadas estrangeiras, entidades diplomáticas e outras organizações sensíveis que operam em Moscou, especialmente para aquelas que dependem de provedores de internet locais”, diz o comunicado.
Ameaça contínua
A Secret Blizzard é classificada pela Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA) como Serviço Federal de Segurança Russo. O grupo também se sobrepõe a agentes de ameaças rastreados por outros fornecedores de segurança, como VENOMOUS BEAR, Uroburos, Snake, Blue Python, Turla, Wraith, ATG26 e Waterbug.
Essa é a primeira vez que a Microsoft identifica a capacidade do agente de realizar atividades de ciberespionagem no nível de Provedor de Serviços de Internet (ISP). Isso significa que as redes conectadas aos serviços de telecomunicações na Rússia são alvos altamente prováveis do malware.
O esquema se baseia na técnica de adversário intermediário, que ocorre quando um adversário se posiciona entre duas ou mais redes para dar suporte a atividades subsequentes. De acordo com a Microsoft, a atuação do grupo é provavelmente facilitada por interceptação legal, e inclui a instalação de certificados raiz sob o disfarce do Kaspersky Anti-Virus (AV).
O acesso inicial é feito a partir do direcionamento do dispositivo alvo a um portal cativo — páginas da web legítimas projetadas para gerenciar o acesso à rede, como as encontradas ao se conectar à internet em um hotel ou aeroporto.
Leia Mais:
- Microsoft entra no clube dos US$ 4 trilhões com a força da IA
- Brasil deve investir bilhões em cibersegurança até 2028, diz relatório
- Conheça o Sextortion Scam e como se proteger do golpe que ameaça vazar nudes
Tem proteção?
A Microsoft listou recomendações para mitigar a atividade do Secret Blizzard, especialmente em organizações sensíveis que operam em Moscou. São elas:
- Encaminhamento de todo o tráfego por meio de um túnel criptografado para uma rede confiável ou use um provedor de serviços de rede privada virtual (VPN), como um provedor baseado em satélite, cuja infraestrutura não seja controlada ou influenciada por terceiros;
- Prática do princípio do menor privilégio: utilize autenticação multifator (MFA) e audite a atividade de contas privilegiadas em seus ambientes para retardar e interromper ataques;
- Evitar o uso de contas de serviço de nível administrativo em todo o domínio e restringir os privilégios administrativos locais;
- Revisar regularmente grupos com altos privilégios, como Administradores, Usuários de Área de Trabalho Remota e Administradores Corporativos. Os agentes de ameaças podem adicionar contas a esses grupos para manter a persistência e disfarçar suas atividades;
- Ativar a proteção fornecida pela nuvem no Microsoft Defender Antivirus ou equivalente para seu produto antivírus para cobrir ferramentas e técnicas de invasores em rápida evolução;
- Executar a detecção e resposta de endpoint (EDR) em modo de bloqueio, que funciona em segundo plano para corrigir artefatos maliciosos detectados após a violação;
- Ativar regras de redução de superfície de ataque para evitar técnicas de ataque comuns.
O post Embaixadas em Moscou sofreram espionagem, diz Microsoft apareceu primeiro em Olhar Digital.
