Cibercrime descodificado: APT28 e a saga dos ataques direcionados!

Um labirinto complexo de espelhos, onde existe uma série de ilusões e camadas estratégicas, que dificultam a distinção entre o que é real e o que é falso. Cada espelho representa uma tentativa de desviar a atenção, ocultando a verdadeira identidade e intenções dos cibercriminosos.

Confuso, estratégico e persistente, termos que descrevem bem o cibercrime e seus agentes. Como reconhecer essas camadas, adotar medidas de segurança e não ser refém de um mercado tão lucrativo?

O primeiro passo está em descodificar o cibercrime, exatamente o que farei nessa nova série de artigos aqui do blog, começando pelo grupo Fancy Bear (APT28), uma gangue de cibercriminosos, bem perigosos e persistentes.

Continue lendo e descubra.

Fancy Bear (APT28): Origens e motivações

Talvez seja a primeira vez que você esteja vendo esse nome, mas o Fancy Bear (também conhecido como APT28 ou Sofacy) é um grupo de ciberespionagem altamente avançado e sofisticado, que acredita-se estar associado ao governo russo. O nome "Fancy Bear" vem de um sistema de codificação que o pesquisador de segurança Dmitri Alperovitch usa para identificar cibercriminosos.

Por que APT28?

A sigla APT (Advanced Persistent Threat) é utilizada para descrever uma campanha de ataque cibernético furtivo, com recursos e uma abordagem persistente para estabelecer uma presença não detectada em uma rede, roubando informações e mantendo o acesso prolongado em sistemas.

Ou seja, os grupos APT, não apenas invadem, mas, também, permanecem no ambiente comprometido por um período prolongado, para continuar exfiltrando dados sensíveis, o que nos ajuda a entender um pouco mais sobre o modus operandi do grupo, já que o mesmo desenvolve campanhas de longa duração para governos, organizações militares e de defesa, instituições acadêmicas e políticos em diferentes países.

Quem está por trás do Fancy Bear?

Em fevereiro de 2019, a empresa de segurança cibernética CrowdStrike afirmou que o Fancy Bear está associado à agência de inteligência militar russa GRU (Estado-Maior General das Forças Armadas da Rússia). Além da CrowdStrike, as empresas SecureWorks, TheatConnect e Mandiant também atribuem a autoria do grupo ao governo russo.

Apesar da delicadeza que existe na atribuição de um grupo criminoso a um governo, essa ação foi feita com base em pesquisas e análises, e possui uma grande importância para entendermos um dos espelhos no labirinto do cibercrime: a ciberespionagem.

Fancy Bear: quais são os interesses dos atacantes?

A ciberespionagem é um dos motivos mais comuns do grupo, envolvendo questões geopolíticas sensíveis, como conflitos internacionais e eleições, mas não é o único. A sabotagem e desestabilização também é um dos motivos que impulsionam as ações e ataques do cibercrime.

Os ataques do grupo, registrados na história, foram executados para criar danos significativos, como interrupção de serviços, vazamentos de dados e ações que desestabilizam instituições ou países. Somado a isso, existem motivações ideológicas que impulsionam as ações do Fancy Bear, para promoção de agendas políticas específicas.

Por fim, é válido ressaltar as motivações e interesses diplomáticos, em negociações internacionais, por parte dos ataques do Fancy Bear. Diante das possíveis ligações com a agências de inteligência, o Fancy Bear pode estar interessado em obter informações para reforçar as posições diplomáticas ou negociações internacionais do governo russo.

Mas, quais são as estratégias utilizadas pelo Fancy Bear? Como o grupo constrói seus espelhos nesse labirinto? É o que veremos a seguir.

Táticas e Técnicas do APT28

Existem razões sólidas para que o grupo seja temido e estudado. Além das motivações que apresentei no último tópico, as características e técnicas são avançadas e consistentes, ao mesmo tempo que fazem uso das táticas populares.

Um exemplo disso são os e-mails de spear phishing e os sites malwares, disfarçados de notícias e vulnerabilidades de dia zero.

Segundo o The Guardian, um grupo de investigação em cibersegurança observou a utilização de seis explorações de dia zero diferentes em 2015, um feito técnico que exigiria inúmeros programadores à procura de vulnerabilidades, anteriormente desconhecidas em software comercial, de topo de gama.

Essas táticas evidenciam que o Fancy Bear é um programa estatal, e não uma gangue ou um cibercriminoso solitário.

Além das campanhas, o APT28  também desenvolve malwares personalizados para suas operações, tornando-o difícil de detectar por soluções de segurança convencionais. Isso inclui cavalos de Troia, backdoors e outros tipos de malware.

Como mencionei anteriormente, o Fancy Bear também utiliza táticas populares em suas estratégias, fazendo isso com um pouco mais de sofisticação.

Frequentemente, o grupo usa táticas para explorar o comportamento humano, como a curiosidade, a confiança ou a urgência para induzir os alvos a tomar ações prejudiciais, o que pode ser definido como engenharia social avançada.

Por fim, podemos mencionar a exploração do C&C como uma técnica do APT28. Eles usam uma Infraestrutura de Comando e Controle, frequentemente, alterando domínios e IPs para dificultar a detecção e o bloqueio.

Agora que você já conheceu alguns dos componentes das camadas, é hora de entender quais são as vítimas mais notáveis no labirinto do Fancy Bear, com um pequeno giro histórico.

Ataques notáveis do APT28 ao longo dos anos

Como mencionei, os alvos incluem organizações militares e de defesa, instituições acadêmicas e políticos, mas existem alguns governos específicos, citando alguns exemplos: Europa Oriental, Geórgia, Cáucaso, a Ucrânia, organizações relacionadas com a segurança, como a OTAN e os empreiteiros de defesa dos EUA Academi.

Isto posto, conheça agora dos ataques mais notáveis:

Ataques a jornalistas (2014 - 2017)

Os jornalistas serem alvos constantes de pessoas e grupos com ligações políticas é quase que comum, e o grupo Fancy compõem os atacantes. De 2014 até ao outono de 2017, o grupo teve como alvo numerosos jornalistas nos Estados Unidos, Ucrânia, Rússia, Moldávia, países bálticos e outros países que escreveram artigos sobre Vladimir Putin e o Kremlin.

Conforme a Associated Press e a SecureWorks, este grupo de jornalistas é o terceiro maior grupo alvo do Fancy Bear, depois do pessoal diplomático e dos democratas dos EUA.

Ameaças de morte de esposas de militares dos EUA ( 2015)

Cinco esposas de militares dos EUA receberam ameaças de morte de um grupo de cibercriminosos, que se autodenomina "CiberCalifado", alegando ser afiliado do Estado Islâmico, em 10 de fevereiro de 2015.

Algum tempo depois, foi descoberto que era um ataque de bandeira falsa do Fancy Bear, pois os endereços de e-mail das vítimas estavam na lista de alvos de phishing do Fancy Bear. Os boatos sobre a autoria de terroristas foram espalhados por trolls russos nas redes sociais, a fim de semear o medo e a tensão política.

Hack de televisão francesa (abril de 2015)

O ano de 2015 foi bem agitado para o Fancy Bear, que voltou a fazer vítimas. Em 8 de abril de 2015, a rede de televisão francesa TV5Monde foi vítima de um ataque cibernético.

A tática foi a mesma aplicada no ataque às esposas dos militares dos EUA, atribuindo a autoria do ataque ao grupo de cibercriminosos CiberCalifado.

Posteriormente, os investigadores franceses descartaram a teoria de que o grupo de islâmicos estava por trás do ataque cibernético, suspeitando, em vez disso, do envolvimento do Fancy Bear.

Como o ataque ocorreu?

Os invasores violaram os sistemas internos da rede, possivelmente auxiliados por senhas transmitidas abertamente pela TV5, substituindo a programação de transmissão dos 12 canais da empresa por mais de três horas.

O serviço foi apenas parcialmente restabelecido nas primeiras horas da manhã seguinte, e os serviços normais de transmissão foram interrompidos no final de 9 de abril. Vários sistemas informatizados administrativos e de suporte internos, incluindo e-mail, ainda estavam desligados ou inacessíveis devido ao ataque.

O grupo também sequestrou as páginas do Facebook e Twitter da TV5Monde, para postar informações pessoais de parantes de soldados franceses, que participaram em ações contra o ISIS, juntamente com mensagens críticas ao presidente François Hollande, argumentando que os ataques terroristas de janeiro de 2015 foram "presentes" para o seu "erro imperdoável" de participar em conflitos que "não servem para nada".

O Patriarcado Ecumênico e outros clérigos (agosto de 2018)

Nem mesmo líderes religiosos escaparam da mira do APT28. Segundo o relatório de agosto de 2018 da Associated Press, o APT28 vinha atacando há anos a correspondência por e-mail dos funcionários do Patriarcado Ecumênico de Constantinopla, liderado pelo Patriarca Ecumênico Bartolomeu I.

A publicação apareceu em um momento de tensões elevadas entre o Patriarcado Ecumênico, a mais antiga de todas as Igrejas Ortodoxas Orientais, e a Igreja Ortodoxa Russa (o Patriarcado de Moscou), sobre a questão da independência eclesiástica total para os Ortodoxos da Igreja na Ucrânia, procurada pelo governo ucraniano.

A publicação citou especialistas dizendo que a concessão da autocefalia à Igreja na Ucrânia iria minar o poder e o prestígio do Patriarcado de Moscovo, e minaria as suas reivindicações de jurisdição transnacional.

Os ataques cibernéticos também tiveram como alvo cristãos ortodoxos em outros países, bem como muçulmanos, judeus e católicos nos Estados Unidos, Ummah, um grupo guarda-chuva para muçulmanos ucranianos, e o núncio papal em Kiev e Yosyp Zisels, que dirige a Associação de Organizações Judaicas da Ucrânia e Comunidades.

Ataque ao Parlamento norueguês em 2020

Caminhando um pouco mais na linha do tempo, em agosto de 2020, o Storting norueguês relatou um “ataque cibernético significativo” ao seu sistema de e-mail. Em setembro de 2020, a ministra das Relações Exteriores da Noruega, Ine Marie Eriksen Søreide, acusou a Rússia do ataque, afirmando existir evidências sobre a autoria do grupo.

E-mails falsos de atualização do Windows para atingir o governo ucraniano (2023)

Por último, um dos ataques mais recentes do grupo envolve um malware escondido em e-mails falsos de atualização do Windows. Os links de phishing foram enviados de endereços de e-mail do Outlook que pareciam pertencer a funcionários de organizações governamentais na Ucrânia.

Os ataques compõem uma série de ameaças e estratégias que se intensificaram devido ao conflito entre Rússia e Ucrânia.

Atribuição, detecção e resposta: como combater o Fancy Bear?

Em um labirinto de espelhos, não ser enganado ou distraído é uma tarefa bem delicada, principalmente quando envolve técnicas de grupo tão sofisticadas e perigosas como o FancyBear, mas existem algumas possibilidades, como veremos neste tópico.

Como os especialistas atribuíram os ataques ao grupo?

Agências de inteligência, especialistas em segurança cibernética e organizações internacionais podem usar uma combinação de análise técnica, inteligência de ameaças e cooperação internacional para identificar padrões de comportamento, ferramentas e infraestruturas associadas ao grupo.

Entre as técnicas de detecção, podemos destacar:

• Monitoramento de rede e tráfego: Implementação de ferramentas de monitoramento de rede para identificar atividades incomuns ou suspeitas, como padrões de tráfego anormais ou comunicações com domínios maliciosos, pode ajudar na detecção de ataques.

A Starti desenvolveu e mantém a melhor ferramenta de monitoramento de rede e tráfego, além de diversas funções para proteção da rede. Clique no banner e saiba mais:

• Análise comportamental: Usar soluções de segurança que podem detectar comportamentos anômalos em sistemas e redes, como atividades de acesso incomuns ou tentativas de exfiltração de dados.
• Análise de vulnerabilidades: Realizar avaliações regulares de vulnerabilidades para identificar possíveis brechas que o Fancy Bear poderia explorar.
• Assinaturas de malware e Indicadores de comprometimento (IoCs): Utilizar listas atualizadas de IoCs para identificar atividades relacionadas ao Fancy Bear, como endereços IP, domínios ou hashes de arquivos associados a suas operações.
  Análise de e-mail e filtragem: Por fim, implementar soluções de filtragem de e-mail para identificar e-mails de phishing e mensagens maliciosas associadas ao grupo, é uma estratégia que pode ajudar muito na detecção.

Quando um ataque do grupo é detectado, quais são os possíveis caminhos para a resposta?

• Isolamento e neutralização: Isolar sistemas comprometidos para evitar a propagação do ataque e neutralizar um malware em andamento.
• Comunicação e colaboração: Comunicar incidentes para as partes relevantes, como agências de segurança cibernética, parceiros de indústria e fornecedores de soluções de segurança.
• Melhorias na segurança: Implementar melhorias de segurança, como atualizações regulares de software, patches de segurança e treinamento de conscientização em segurança para os funcionários.
• Compartilhamento de inteligência: Compartilhar informações sobre ameaças e IoCs com outras organizações e agências de segurança pode ajudar a identificar e mitigar ameaças futuras.
• Análise pós-ataque: Por fim, executar uma análise detalhada pós-ataque para entender como o Fancy Bear penetrou e operou na rede, a fim de fortalecer as defesas e prevenir futuros ataques semelhantes.

Para onde vamos agora?

Apesar das estratégias e táticas que levantei aqui, o labirinto do cibercrime requer, não apenas conhecimento técnico, mas, também, um olhar crítico e a capacidade de questionar a autenticidade do que é apresentado.

O Fancy Bear é apenas um dos muitos grupos e caminhos no cibercrime, mas existem muitos outros agentes e invasores para conhecer, dentro e fora do Brasil.

Quer ser um explorador(a) nesse labirinto? Continue acompanhando essa série de artigos, pois vamos juntos descodificar o cibercrime. E claro, acompanhe os nossos canais: