De acordo com a Microsoft, hackers russos, chineses e iranianos estão tentando espionar pessoas ligadas às campanhas do presidente Donald Trump e de seu rival democrata, Joe Biden, antes das eleições nos EUA em novembro deste ano.
Em um relatório divulgado na quinta-feira (10), a Microsoft revela os detalhes dos novos ataques cibernéticos direcionados as eleições dos EUA.
"Nas últimas semanas, a Microsoft detectou ataques cibernéticos direcionados a pessoas e organizações envolvidas na próxima eleição presidencial, incluindo ataques malsucedidos a pessoas associadas às campanhas de Trump e Biden", disse Tom Burt, vice-presidente corporativo de segurança da Microsoft, em postagem na quinta-feira.
"A atividade que estamos anunciando hoje deixa claro que os grupos de atividades estrangeiras intensificaram seus esforços visando as eleições de 2020 como havia sido previsto e é consistente com o que o governo dos EUA e outros relataram."
A Microsoft ainda revela que o grupo de hackers têm atuado contra campanhas políticas, grupos de defesa, partidos e consultores políticos não só nos EUA, mas também na Europa.
De acordo com Burt, a maioria dos ataques foi detectada e interrompido pelas ferramentas de segurança da Microsoft e os alvos foram notificados.
Ataques da Rússia a campanhas eleitorais
De acordo com a investigação do Centro de Inteligência de Ameaças da Microsoft (MSTIC), o Strontium desenvolveu suas táticas desde a eleição de 2016 para incluir novas ferramentas de reconhecimento e novas técnicas para ofuscar suas operações.
Strontium, também conhecido como ATP28 ou Fancy Bear, é uma unidade de ciberataque supostamente associada à inteligência militar russa, o GRU. Também é o principal responsável pelos ataques à campanha presidencial democrata em 2016.
O grupo teve como alvo mais de 200 organizações em todo o mundo entre setembro de 2019 até os dias de hoje, seus principais alvos são:
- Consultores baseados nos EUA servindo republicanos e democratas;
- Think tanks, como o German Marshall Fund dos Estados Unidos e organizações de defesa;
- Organizações partidárias nacionais e estaduais nos EUA;
- O Partido Popular Europeu e os partidos políticos no Reino Unido.
Em 2016, o grupo dependia principalmente de spear-phishing para capturar as credenciais de login das pessoas ou comprometer suas contas.
No entanto, nos últimos meses, ele se envolveu em ataques de força bruta e spray de senha, para automatizar aspectos de suas operações.
O grupo também tentou disfarçar os ataques de obtenção de credenciais de novas maneiras, conduzindo-os por meio de mais de 1.000 endereços IP em rotação constante, muitos associados ao serviço de anonimato Tor.
O grupo até mesmo evoluiu sua infraestrutura ao longo do tempo, adicionando e removendo cerca de 20 IPs por dia para mascarar ainda mais sua atividade.
Ataques da China a campanhas eleitorais
Zircônio também conhecido como APT31, operando na China, atacou indivíduos de alto perfil associados à eleição. Seus alvos incluem indivíduos em duas categorias.
A primeira categoria tem como alvo pessoas intimamente associadas às campanhas e candidatos presidenciais dos EUA.
Por exemplo, parece ter direcionado indiretamente e sem sucesso as pessoas associadas à campanha de Joe Biden para presidente por meio de contas de e-mail que não eram da campanha. Além disso, atacou pelo menos um indivíduo anteriormente vinculado à administração Trump.
Por outro lado, a segunda categoria tem como alvo indivíduos proeminentes na comunidade de assuntos internacionais, acadêmicos em assuntos internacionais de mais de 15 universidades e contas vinculadas a 18 assuntos internacionais e organizações políticas, incluindo o Atlantic Council e o Stimson Center.
"O Zircônio está usando o que é conhecido como web bugs, ou web beacons, vinculados a um domínio que eles compraram e preencheram com conteúdo. O ator então envia o URL associado em um texto de e-mail ou um anexo para uma conta de destino", explicou Burt.
"Embora o domínio em si não tenha conteúdo malicioso, o bug da web permite que o Zirconium verifique se um usuário tentou acessar o site. Para os atores do estado-nação, esta é uma maneira simples de realizar o reconhecimento de contas-alvo para determinar se a conta é válida ou se o usuário está ativo."
Milhares de ataques de Zircônio foram detectados pela Microsoft entre março e setembro de 2020, resultando em quase 150 comprometimentos. A atividade também foi detectada pelo Google em junho.
Ataques do Iran a campanhas eleitorais
O grupo iraniano Phosphorus, também conhecido como APT35 ou Charming Kitten APT 35, ou Equipe de Segurança Ajax, tentou acessar as contas pessoais ou de trabalho de indivíduos envolvidos direta ou indiretamente com a eleição presidencial dos EUA.
Esses ataques são a continuação de uma campanha iniciada no ano passado, que foi detectada pela Microsoft e divulgada em outubro de 2019.
Entre maio e junho de 2020, Phosphorus tentou sem sucesso entrar nas contas de funcionários do governo e pessoas ligadas a equipe de campanha do presidente Donald Trump.
Em março de 2019, a Microsoft usou ordens judiciais do Tribunal Distrital dos Estados Unidos para Washington DC assumir o controle de 99 sites que o Phosphorus usava para conduzir suas operações de hacking.
No mês passado, a empresa usou o mesmo método para assumir o controle de outros 25 novos domínios da Internet, totalizando 155 domínios anteriormente pertencentes à Phosphorus.
Concluindo a investigação detalhada sobre os ataques realizados por hackers russos, chineses e iranianos, Burt acrescentou:
"Divulgamos ataques como esses porque acreditamos que é importante que o mundo conheça as ameaças aos processos democráticos. É fundamental que todos os envolvidos em processos democráticos em todo o mundo, direta ou indiretamente, estejam cientes dessas ameaças e tomem medidas para se protegerem tanto em suas capacidades pessoais quanto profissionais."
"Reportamos as atividades do estado-nação aos nossos clientes e de forma mais ampla quando relevante para o público, independentemente da afiliação do ator ao estado-nação. Estamos tomando medidas extras para proteger os clientes envolvidos em eleições, governo e formulação de políticas. Continuaremos a divulgar atividades adicionais significativas em nossos esforços para defender a democracia."
Fonte: Blog Microsoft
