Uma nova investigação revela que, entre maio e junho deste ano, um grupo de hackers russos levou a cabo uma campanha de spear phishing por email para atacar países da NATO e roubar credenciais utilizadas por funcionários em missões diplomáticas.

De acordo com os investigadores da Palo Alto Networks, os hackers utilizavam documentos supostamente enviados por embaixadas como “isco”. Em questão estavam ficheiros PDF que se faziam passar por documentação de embaixadas portuguesas, que incluíam imagens de brasões de armas de Portugal, com links para futuras reuniões com embaixadores.

Palo Alto Networks | Email de spear phishing
Palo Alto Networks | Email de spear phishing créditos: Palo Alto Networks

Os especialistas detalham que as ligações levavam as vítimas para páginas em serviços como o Google Drive ou Dropbox, onde se encontravam ficheiros que infetados com o software malicioso EnvyScout, que servia como um dropper para a instalação de malware adicional nos equipamentos visados.

A Palo Alto Networks também encontrou emails de spear phishing semelhantes e enviados em nome de embaixadas brasileiras, se bem que, nestes casos, os cibercriminosos acabaram por escrever incorretamente o nome do país.

Palo Alto Networks | Email de spear phishing
Palo Alto Networks | Email de spear phishing créditos: Palo Alto Networks

Depois de serem alertadas pelos especialistas, tanto a Google como a Dropbox tomaram medidas para impedir que os cibercriminosos continuassem a utilizar os ficheiros maliciosos nas plataformas de armazenamento na cloud.

O grupo de hackers responsável pela campanha, denominado “Cloaked Ursa” pela Palo Alto Networks, é também conhecido como “Nobelium”, “Cozy Bear” ou “ATP29” e acredita-se que tem ligações aos serviços secretos do governo russo.

Hackers russos que atacaram SolarWinds viram agora baterias para organizações nos EUA e Europa
Hackers russos que atacaram SolarWinds viram agora baterias para organizações nos EUA e Europa
Ver artigo

Recorde-se que este grupo de hackers também esteve por trás do ataque à SolarWinds nos Estados Unidos, visto como um dos incidentes que abalou o panorama da cibersegurança em 2020.

Ainda no ano passado, a Microsoft tinha dado a conhecer que os piratas informáticos estariam a apontar baterias para organizações nos Estados Unidos e Europa, numa campanha que tinha como “alvo” a cadeia de abastecimento tecnológica, sobretudo, revendedores e fornecedores de serviços na Cloud em ambos os territórios.