A Unidade de Inteligência da Palo Alto Networks, Unit 42, identificou recentemente uma série de ataques cibernéticos direcionados às missões diplomáticas na Ucrania. Os responsáveis por essas ações são hackers supostamente ligados ao Serviço de Inteligência Estrangeira da Rússia, conhecidos como Cloaked Ursa, também denominados APT29, UAC-0029, Midnight Blizzard/Nobelium e Cozy Bear.
Ao longo dos últimos dois anos, a gangue Cloaked Ursa tem utilizado predominantemente iscas de phishing com temas relacionados a operações diplomáticas. Essas iscas são direcionadas a indivíduos que lidam com a correspondência da embaixada como parte de suas responsabilidades diárias. O objetivo é convencê-los a abrir arquivos, já que esses funcionários frequentemente têm acesso a informações sensíveis e confidenciais, bem como a comunicações e correspondências entre países.
Recentemente, os pesquisadores da Unit 42 observaram uma mudança no padrão de ataque da Cloaked Ursa. Ao invés de focar exclusivamente nos países representados pelas missões diplomáticas, a ameaça passou a mirar diretamente nos próprios diplomatas. Os ataques, ligados ao serviço de inteligência russo, miravam representantes de pelos menos 22 das cerca de 80 missões estrangeiras presentes na capital ucraniana.
Para Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil, esse número é surpreendente para uma operação clandestina conduzida por uma Ameaça Persistente Avançada (APT) que é publicamente atribuída ao Serviço de Inteligência Estrangeira da Rússia (SVR) pelos Estados Unidos e Reino Unido. "A avaliação de que o grupo é responsável por essas iscas é embasada em diversas evidências, incluindo semelhanças com outras campanhas e alvos conhecidos da ameaça, o uso de TTPs conhecidos e a identificação de sobreposição de código com outro malware previamente associado a essa ameaça", afirma Oliveira.
Uma das mais recentes campanhas observadas pelos pesquisadores usou a venda legítima de um veículo BMW para atingir diplomatas em Kiev. A campanha teve início com um evento inofensivo: em meados de abril de 2023, um diplomata do Ministério das Relações Exteriores da Polônia enviou por e-mail um panfleto anunciando a venda de um sedã BMW série 5 usado, que estava na capital. O arquivo foi intitulado "BMW 5 à venda em Kiev – 2023.docx".
"Os hackers listaram a BMW do diplomata por um preço mais baixo, de 7.500 euros, em uma versão falsa do anúncio, como uma tentativa de encorajar mais pessoas a baixar um software malicioso que lhes daria acesso remoto a seus dispositivos. Esse software estava disfarçado como um álbum de fotos do veículo e ao tentar abrir essas imagens, a pessoa infectaria a sua máquina. A venda de um carro confiável de um diplomata bem estabelecido foi percebida pela Cloaked Ursa como uma oportunidade atraente", comenta Oliveira.
Como não cair em golpes de phising
Para evitar cair em golpes de phishing, é fundamental estar atento e seguir algumas práticas de segurança. Ter cautela ao lidar com e-mails e mensagens online pode reduzir significativamente o risco de cair nesse tipo de golpe, ajudando a manter as informações das empresas, pessoais e financeiras seguras.
Segundo Oliveira, é imprescindível verificar o endereço de e-mail do remetente antes de abrir qualquer e-mail suspeito. Erros ortográficos ou pequenas variações em nomes de domínio sçao alguns dos indícios que podem indicar que o e-mail é falso. "Evite clicar em links enviados por e-mails não solicitados, especialmente se eles direcionam para sites desconhecidos ou suspeitos. Verifique a URL do link antes de clicar para garantir que seja autêntico", completa.
Outro cuidado importante é na hora de abrir os arquivos anexados nos emails. E-mails de phishing frequentemente contêm anexos maliciosos que podem infectar o computador com malware. Por isso é essencial ativar a autenticação em dois fatores sempre que possível, já que isso adiciona uma camada extra de segurança, exigindo um segundo método de verificação além da senha para acessar contas online. "Também desconfie de mensagens urgentes. Golpistas frequentemente usam táticas de urgência para induzir as pessoas a agir rapidamente e sem pensar. Se um e-mail ou mensagem parecer muito urgente ou alarmante, verifique sua autenticidade antes de tomar qualquer ação", alerta Oliveira. "E ao receber um e-mail de phishing, é preciso denunciá-lo ao provedor de e-mail e às autoridades competentes. Isso pode ajudar a prevenir que outros caiam na mesma armadilha", completa o especialista.
