O governo dos Estados Unidos está oferecendo recompensas de até US$ 10 milhões por informações sobre indivíduos associados a dois grupos de ameaça ligados à inteligência russa.
Identificados publicamente como UNC5792 e UNC4221, os grupos cibernéticos têm como alvo atuais e ex-funcionários do governo dos EUA, líderes militares, pessoal aliado, jornalistas, figuras políticas e autoridades-chave localizadas na Ucrânia.
Os grupos de ameaça vêm conduzindo campanhas de phishing direcionadas a aplicativos comerciais de mensageria (do inglês Commercial Messaging Applications, CMAs), conforme alerta divulgado em março pela CISA (Agência de Segurança Cibernética e Infraestrutura) e pelo FBI (Departamento Federal de Investigação).
Se passando por contas automatizadas de suporte dos aplicativos de mensageria, os hackers induzem as vítimas a clicar em links ou compartilhar códigos de verificação para assumir o controle de suas contas em plataformas como Signal e WhatsApp.
Em uma nova atualização, a CISA e o FBI alertam que os atacantes renovaram suas táticas e agora solicitam às vítimas suas Chaves de Recuperação de Backup para acessar conversas históricas, incluindo mensagens privadas e em grupo.
"Se uma vítima compartilhar inadvertidamente sua Chave de Recuperação de Backup, essa mesma chave permanece válida mesmo que ela crie uma nova conta após o comprometimento, usando o mesmo número de telefone. Consequentemente, o ator pode potencialmente usar a chave comprometida para assumir o controle da nova conta no futuro também", diz o alerta.
Para expulsar os hackers das contas comprometidas, os usuários precisam gerar uma nova Chave de Recuperação de Backup, invalidando assim a anterior.
"No entanto, é importante observar que isso não impede que o ator já tenha feito o download de um backup da conta original", alertam a CISA e o FBI.
UNC5792 e UNC4221, segundo as agências, estão associados aos serviços de inteligência russos (do inglês Russian Intelligence Services, RIS). No portal Recompensas pela Justiça, o governo dos EUA vincula o UNC5792 ao Serviço Federal de Segurança (FSB) da Rússia — Guardas de Fronteira, e o UNC4221 aos serviços militares russos.
"Usando técnicas de engenharia social, esses atores cibernéticos maliciosos exploram recursos legítimos de vinculação de dispositivos nesses aplicativos de mensagem seguros para obter acesso não autorizado a comunicações governamentais sensíveis, listas de contatos e conversas em grupo", afirma o governo dos EUA.
Os grupos de ameaça têm abusado das contas comprometidas para lançar ataques de phishing contra outras pessoas de interesse e, em alguns casos, modificaram páginas de 'convite de grupo' para vincular dispositivos controlados pelos atacantes às contas Signal das vítimas.
Os EUA estão dispostos a pagar até US$ 10 milhões em recompensas por informações que levem à identificação dos atores do UNC5792, incluindo seus nomes, localização e biografias.
Também buscam informações sobre o vínculo dos grupos de ameaça com os serviços de inteligência russos, sobre entidades que os apoiam, sua infraestrutura e ferramentas, fontes de financiamento e redes financeiras, incluindo contas bancárias, carteiras de criptomoedas e transações.
