Cibercriminosos apoiados pelo Kremlin atacam sistemas Outlook não corrigidos

Um ator de ameaça apoiado pelo Kremlin e associado à inteligência militar russa tem tentado utilizar um bug no Microsoft Outlook para obter acesso não autorizado a contas de e-mail nos servidores Microsoft Exchange desde abril de 2022, de acordo com os investigadores numa atualização de um relatório de março.

O grupo de cibercriminosos é seguido pela Microsoft como Forest Blizzard, também conhecido como Fancy Bear ou APT28. A vulnerabilidade (CVE-2023-23397) afeta todas as versões do software Microsoft Outlook em dispositivos Windows.

A Microsoft tinha corrigido o bug na primavera, após a sua exploração por invasores russos em ataques “contra um número limitado de organizações nos setores governamental, de transporte, de energia e militar na Europa”, segundo a empresa. 

“Os utilizadores devem garantir que o Microsoft Outlook está corrigido e atualizado para mitigar essa ameaça”, reforçam os investigadores.

De acordo com o Comando Cibernético da Polónia, que está a colaborar com a Microsoft para investigar os ataques, a exploração bem-sucedida da vulnerabilidade permite que os cibercriminosos tenham acesso à correspondência de email dos indivíduos visados. Nos casos investigados pela agência polaca de cibersegurança, os atacantes exploraram o bug do Outlook para obter acesso a caixas de correio que contêm “informações de alto valor”.

O ataque começa com o envio de uma mensagem especialmente criada por um cibercriminoso a um utilizador, explica a Microsoft. O indivíduo visado não precisa sequer de interagir com esta mensagem se o Outlook no seu dispositivo Windows estiver aberto. A exploração do bug deixa poucos vestígios forenses, o que dificulta a deteção das atividades maliciosas.

O Forest Blizzard, caracterizado pelos investigadores de cibersegurança como um grupo de ameaça persistente avançada (APT), visa principalmente organizações governamentais, de energia, transporte e não-governamentais, nomeadamente nos Estados Unidos, na Europa e no Médio Oriente. Os cibercriminosos têm ligações com a agência de inteligência militar da Rússia (GRU).

No mês de setembro, o ator de ameaça tentou atacar uma instalação energética crítica na Ucrânia. Em outubro, a França acusou o grupo de ter como alvo universidades, empresas, grupos de reflexão e agências governamentais.

Geralmente, os cibercriminosos exploram vulnerabilidades que estão disponíveis publicamente. Para além do bug do Microsoft Outlook, atacaram o WinRAR, um utilitário de arquivamento de ficheiros para Windows, “para adaptar operações de spear-phishing contra alvos principalmente do governo ucraniano”.

A Microsoft considera que o grupo tem “bons recursos” e “é bem treinado”, o que representa “desafios de longo prazo para atribuição e rastreio das suas atividades”.

Por sua vez, o Comando Cibernético da Polónia acredita que o Forest Blizzard possui um elevado nível de sofisticação, bem como um conhecimento profundo da arquitetura e dos mecanismos do Microsoft Exchange.