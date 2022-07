Entornointeligente.com /

Emails falsos enviados em nome de embaixadas portuguesas, com a imagem de um brasão de armas de Portugal, foram usados para tentar roubar credenciais de vários países da NATO durante Maio e Junho. O alerta foi feito esta terça-feira, 19 de Julho, pela Unit 42, a unidade de investigação de ameaças da empresa de cibersegurança norte-americana Palo Alto Networks. A equipa acredita que o grupo ​Cloaked Ursa está por detrás do esquema: trata-se de uma comunidade de ciber-atacantes russos com ligações aos serviços secretos da Rússia (o grupo também é conhecido por ATP29, Nobelium e Cozy Bear ).

«Acredita-se que estas campanhas tenham visado várias missões diplomáticas ocidentais entre Maio e Junho de 2022», explica a equipa da Unit42 num relatório publicado esta terça-feira. «Os documentos de phishing continham uma ligação a um ficheiro HTML malicioso.» O grupo também usou emails falsos assinados pela «embaixada do Brasil» ( neste caso, porém, os hackers escreveram «Brzail» em vez de «Brasil»)

Para parecer mais confiável, os email falsos, que eram escritos em inglês e prometiam encontros com embaixadores portugueses, incluíam ligações para sites de armazenamento online conhecidos, como é o caso do GoogleDrive e da Dropbox. Os ficheiros armazenados nestes sites (em teoria, a agenda dos embaixadores portugueses) é que tinham conteúdo malicioso (o EnvyScout) que criava uma porta de entrada para os atacantes nos computadores das vítimas.

A Google e a Dropbox barraram o acesso a estes ficheiros, depois de serem notificadas pela Palo Alto Networks. A empresa de cibersegurança alerta, no entanto, que este tipo de ciberataques devem tornar-se mais comuns devido à «confiança que milhões de clientes» depositam em serviços como a Dropbox e a Google Drive e à frequência com que são usados em ambiente profissional.

Foto Imagem do email usado pelos atacantes DR Phishing com alvo De acordo com a Palo Alto Networks, o objectivo dos atacantes era obter credenciais de missões diplomáticas de países da NATO. Tratava-se de uma campanha de spear-phishing . Tal como o phishing tradicional, os atacantes usam emails falsos (por exemplo, em nome de um banco ou rede social) para convencer alguém a fornecer dados pessoais ou a instalar ficheiros maliciosos. Só que em vez de os atacantes enviarem emails a um público vasto, com a ambição de infectar o maior número possível de computadores, no spear-phishing existem alvos específicos. Neste caso, missões diplomáticas de países da NATO.

O PÚBLICO contactou o Ministério dos Negócios Estrangeiros, ao final da tarde de terça-feira, para saber se há nota de ciberataques desencadeados através deste esquema em específico, mas não obteve resposta até à hora de publicação deste artigo.

Esta não é a primeira vez que Portugal está na mira de ciber-atacantes russos. No final de Fevereiro, a revista Sábado avançou que o Ministério dos Negócios Estrangeiros foi alvo de um ciberataque lançado por ciber-operacionais russos. Uma das consequências deste ataque , cuja causa não foi divulgada, foi a interrupção do serviço de email do MNE, encontrando-se os diplomatas e os serviços do Palácio das Necessidades sem acesso ao correio electrónico durante vários dias.

Há muito que a indústria de cibersegurança atribui os ataques do grupo Cozy Bear a Moscovo. Especialistas de cibersegurança de todo o mundo acreditam que o grupo está por detrás do ataque aos servidores do Comité Nacional do Partido Democrata , em 2016, que levou ao roubo e divulgação de milhares de emails internos.

O grupo também está associado ao ataque da SolarWinds Corp, uma empresa sediada no Texas que desenvolve programas de cibersegurança para empresas e para uma série de entidades governamentais, desde o Pentágono ao Departamento de Estado. Ao inserir códigos maliciosos numa actualização de programa de segurança, os piratas informáticos puderam explorar as redes de computadores de empresas privadas, think tanks e agências governamentais durante meses.

É a primeira vez que o grupo usa serviços de armazenamento na nuvem para desencadear os ataques.»Esta é uma nova táctica para estes atacantes que se revela desafiante de detectar devido à natureza omnipresente destes serviços e ao facto de milhões de clientes em todo o mundo confiarem neles», insiste a empresa de cibersegurança Palo Alto Networks na conclusão do relatório. «Encorajamos todas as organizações a reverem as suas políticas de correio electrónico.»

