Hackers Russos

Uma campanha de intrusão de dois meses, recentemente descoberta, visou uma grande organização de serviços empresariais na Ucrânia, além de um ataque de uma semana contra uma entidade governamental local. Os atacantes, associados a grupos de ameaças russos, utilizaram táticas de ‘Living-off-the-Land’, evitando o uso de malware convencional e mantendo acesso persistente enquanto minimizavam os riscos de detecção. A invasão começou em 27 de junho de 2025, quando os hackers implantaram webshells em servidores expostos, provavelmente explorando vulnerabilidades não corrigidas. Um dos webshells identificados foi o Localolive, associado ao subgrupo Sandworm, uma unidade de inteligência militar da Rússia. Após a invasão inicial, os atacantes realizaram uma fase de reconhecimento metódica, coletando credenciais e configurando ferramentas legítimas para garantir acesso contínuo. A campanha destaca a sofisticação técnica dos atacantes e a necessidade de as organizações implementarem soluções robustas de detecção e resposta a incidentes, além de programas abrangentes de gerenciamento de vulnerabilidades.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.

O FBI emitiu um alerta sobre hackers russos, associados ao Centro 16 do FSB, que estão explorando uma vulnerabilidade antiga da Cisco, identificada como CVE-2018-0171. Essa falha, que afeta o protocolo SNMP e o recurso Smart Install do software Cisco IOS, permite que adversários não autenticados realizem ações maliciosas, como a execução de código arbitrário ou a negação de serviço (DoS). A vulnerabilidade impacta uma variedade de dispositivos, incluindo switches da série Catalyst, muitos dos quais já atingiram o fim de vida e não receberam patches. O FBI relatou que esses hackers conseguiram coletar arquivos de configuração de milhares de dispositivos de rede em entidades dos EUA, especialmente no setor de infraestrutura crítica, e modificaram configurações para obter acesso não autorizado. A agência recomenda que as organizações atualizem seus sistemas e considerem a substituição de dispositivos obsoletos para mitigar os riscos associados a essa vulnerabilidade.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

O FBI emitiu um alerta urgente sobre operações cibernéticas sofisticadas conduzidas por hackers associados ao serviço de inteligência russo, que estão comprometendo redes de infraestrutura crítica nos Estados Unidos e internacionalmente. Os atacantes, vinculados ao Centro 16 do FSB, têm explorado vulnerabilidades em equipamentos de rede, como o protocolo Simple Network Management Protocol (SNMP) e uma falha não corrigida no Cisco Smart Install (CVE-2018-0171). Essa vulnerabilidade permitiu acesso não autorizado a sistemas sensíveis em diversos setores. A operação é extensa, com o FBI identificando a coleta de arquivos de configuração de milhares de dispositivos de rede. Além disso, os hackers demonstraram habilidades avançadas ao modificar arquivos de configuração para garantir acesso persistente, permitindo uma exploração detalhada das redes das vítimas, especialmente em sistemas de controle industrial. O grupo, conhecido por vários nomes, como ‘Berserk Bear’, tem operado por mais de uma década, visando dispositivos que utilizam protocolos legados. O FBI recomenda que organizações suspeitas de comprometimento avaliem imediatamente seus dispositivos de rede e relatem incidentes às autoridades competentes.