Atores patrocinados pelo Estado com ligações com a Rússia têm sido associados a ataques cibernéticos direcionados a entidades diplomáticas francesas, afirmou a agência de segurança da informação do país, ANSSI, num comunicado.
Os ataques foram atribuídos a um cluster rastreado pela Microsoft sob o nome Midnight Blizzard (anteriormente Nobelium), que se sobrepõe a atividades rastreadas como APT29, BlueBravo, Cloaked Ursa, Cozy Bear e The Dukes.
Embora os apelidos APT29 e Midnight Blizzard tenham sido usados indistintamente para se referir a conjuntos de intrusão associados ao Serviço de Inteligência Estrangeiro Russo (SVR), a ANSSI disse que prefere tratá-los como grupos de ameaças díspares ao lado de um terceiro chamado Darkish Halo, que foi mantido responsável pelo ataque à cadeia de suprimentos de 2020 por meio do software program SolarWinds.
“O Nobelium é caracterizado pelo uso de códigos, táticas, técnicas e procedimentos específicos. A maioria das campanhas do Nobelium contra entidades diplomáticas usa contas de e-mail legítimas comprometidas pertencentes a funcionários diplomáticos e conduz campanhas de phishing contra instituições diplomáticas, embaixadas e consulados”, disse o comunicado. disse a agência.
Vale ressaltar que o direcionamento de entidades diplomáticas também é monitorado sob o nome Diplomatic Orbiter.
Os ataques envolvem o envio de e-mails de phishing a organizações públicas francesas de instituições e indivíduos estrangeiros previamente comprometidos pelo ator da ameaça para iniciar uma série de ações maliciosas.
“Em maio de 2023, várias embaixadas europeias em Kiev foram alvo de uma campanha de phishing conduzida pelos operadores do Nobelium”, afirmou. “A embaixada francesa em Kiev foi um dos alvos desta campanha, que foi realizada através de um e-mail que teve como tema um ‘carro diplomático à venda’”.
Outro ataque observado no mesmo mês contra a Embaixada Francesa na Roménia acabou por não ter sucesso, observou a ANSSI.
Outras invasões montadas pelo ator da ameaça aproveitaram falhas de segurança nos servidores JetBrains TeamCity como parte de uma campanha oportunista. Nos últimos meses, também foi associado a violações da Microsoft e da Hewlett Packard Enterprise (HPE).
“O direcionamento de entidades de TI e de segurança cibernética para fins de espionagem por parte dos operadores do Nobelium fortalece potencialmente as suas capacidades ofensivas e a ameaça que representam”, afirmou a agência. “A inteligência recolhida durante os ataques recentes contra entidades do setor de TI também poderá facilitar as operações futuras da Nobelium.”
A divulgação ocorre no momento em que a Polónia revela que hackers russos podem estar por trás do ataque DDoS à Telewizja Polska (TVP) que levou à interrupção de uma transmissão on-line do torneio de futebol Euro 2024 em 16 de junho de 2024.
