CISA lança alerta sobre ameaças de grupos patrocinados pelo estado russo

A norte-americana Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta detalhando uma variedade de táticas utilizadas por grupos estatais russos para atacar instituições governamentais nos EUA e redes de aviação entre setembro e dezembro de 2020, avança a ZDNet. 

Questionada sobre a razão do anúncio agora, dois anos depois, a CISA disse que fazia parte da sua "contínua missão de cibersegurança" com "parceiros interagências para alertar as organizações de potenciais ameaças cibernéticas criminais ou estatais".

"Como descrito no comunicado, os atores patrocinados pelo Estado russo têm visado uma variedade de organizações de infraestruturas críticas dos EUA e internacionais ao longo dos anos. Esta orientação está a ser divulgada para partilhar amplamente táticas, técnicas e procedimentos conhecidos e incentivar os defensores de redes a tomar as ações recomendadas", disse um porta-voz da CISA. 

O CISA disse que os grupos "visaram dezenas de redes governamentais SLTT (local, tribal e territorial) e redes de aviação" e conseguiram comprometer as redes antes de fazer data exfiltrating de um número desconhecido de vítimas. Mais, a agência refere que os grupos de Advanced Persistent Threat (APT) realizaram campanhas de "intrusão em várias fases" em várias empresas do setor energético, implantando malware focado em Industrial Control Systems (ICS) e recolhendo dados empresariais e relacionados com o ICS de 2011 a 2018.

A CISA, o FBI e a NSA lançaram, também, uma lista completa de vulnerabilidades às quais os grupos patrocinados pelo Estado russo recorrem para ganhar acesso inicial às redes visadas:

• CVE-2018-13379 FortiGate VPN
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-7609 Kibana
• CVE-2019-9670 Zimbra software
• CVE-2019-10149 Exim Simple Mail Transfer Protocol
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2020-0688 Microsoft Exchange
• CVE-2020-4006 VMWare (que na altura era uma zero-day)
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-26855 Microsoft Exchange (esta vulnerabilidade é frequentemente utilizada em conjunto com CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065)