Desde o início da invasão russa da Ucrânia, a Rússia tem usado todos os tipos de táticas, incluindo guerra cibernética, para inclinar a balança a seu favor. Agora, de acordo com pesquisadores de segurança da Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), os hackers patrocinados pelo estado russo do grupo APT28 têm como alvo funcionários do governo ucraniano com malware disfarçado de atualizações do Windows para roubar informações vitais.
Esses ataques envolvem hackers russos enviando e-mails maliciosos que contêm instruções sobre como atualizar o Windows como defesa contra ataques cibernéticos. No entanto, em vez de fornecer instruções legítimas, o e-mail contém um comando do PowerShell que baixa um script do PowerShell. Esse script simula uma atualização falsa do Windows enquanto baixa uma segunda carga útil em segundo plano, que é uma ferramenta que coleta e envia dados para uma API de serviço Mocky por meio de uma solicitação HTTP. Além disso, para tornar esses e-mails maliciosos mais confiáveis, os invasores também criaram endereços de e-mail @outlook.com falsos usando os nomes reais dos administradores do sistema.
Em um esforço para evitar que os funcionários sejam vítimas desse ataque, o CERT-UA aconselhou todos os administradores de sistema a restringir a capacidade de iniciar o PowerShell em computadores críticos e monitorar o tráfego de rede em busca de conexões com a API do serviço Mocky.
Não é o único ciberataque na Ucrânia
A guerra entre a Rússia e a Ucrânia já dura mais de um ano, e esta não é a primeira vez que o grupo APT28, patrocinado pelo estado, é vinculado a ataques cibernéticos na Ucrânia. Na verdade, o Grupo de Análise de Ameaças do Google informou recentemente que mais de 60% do total de ataques cibernéticos e e-mails de phishing direcionados à Ucrânia se originaram da Rússia, com o APT28 por trás de uma parte significativa deles.
À medida que a guerra continua a se prolongar e a Ucrânia consegue se manter firme, a Rússia provavelmente lançará novas formas de ataques para enfraquecer as defesas da Ucrânia. Portanto, empresas e entidades governamentais devem treinar seus funcionários para identificar e reportar e-mails suspeitos e manter todos os softwares atualizados.