Urso chique, também conhecido como APT28, orquestrou um ataque ao Burisma. Hackers ligados à inteligência russa executaram uma campanha de phishing visando funcionários da empresa ucraniana de petróleo e gás Burisma Holdings.
Especialistas em segurança de Área 1 Segurança revelou que os criminosos se concentraram em duas subsidiárias da Burisma – KUB-GAZ e ESKO-PIVNICH, juntamente com a relacionada CUB Energy Inc.
Área 1 Link de especialistas em segurança as atividades do grupo Fancy Bear com a Diretoria Principal de Inteligência do Estado-Maior do Exército Russo.
Área 1 Especialistas em segurança afirmam que a Diretoria Principal de Inteligência do Estado-Maior do Exército Russo (GRU) iniciou uma campanha de phishing visando a Burisma Holdings, uma holding de empresas de exploração e produção de energia com sede em Kiev, Ucrânia, começando no início de novembro de 2019
Os invasores utilizaram domínios semelhantes para enganar os funcionários da empresa e coagi-los a inserir seus e-mails e senhas. Especialistas observam que a Burisma e suas subsidiárias compartilham um único servidor de e-mail.
Embora o site da empresa tenha enfrentado inúmeras tentativas de hacking nos últimos seis meses, ainda não está claro quais dados os criminosos tentaram roubar.
Especialistas confirmam o sucesso da campanha de phishing dirigida aos funcionários da Burisma, com os invasores violando com sucesso um dos servidores de e-mail da empresa.
Hackear os servidores de e-mail da Burisma pode resultar na exposição de correspondência de Hunter Biden, um membro do conselho de 2014 para 2019 e o filho de Joe Biden, um rival potencial dos então EUA. Presidente Donald Trump no 2020 NÓS. eleição presidencial. Os criminosos supostamente buscavam informações comprometedoras sobre um rival político.
Em julho, O presidente Donald Trump instou a Ucrânia a investigar as atividades da Burisma por informações incriminatórias sobre a família Biden. Agora, Hackers russos estão tentando obter tais informações.
Área 1 A segurança correlacionou esta campanha contra a Burisma Holdings com táticas específicas, técnicas, e procedimentos (TTPs) usado exclusivamente pelo GRU russo em phishing de credenciais. O GRU emprega repetidamente Ititch, NomeSilo, e NameCheap para registro de domínio; MivoCloud e M247 como provedores de serviços de Internet; Yandex para atribuição de registro MX; e um padrão consistente de domínios semelhantes
O GRU tem sido de particular interesse para a Área 1 devido ao seu histórico de atingir organizações comerciais e estatais. Consequentemente, Área 1 vem monitorando os TTPs da GRU há vários anos, e os TTPs utilizados nesta campanha estão alinhados com aqueles observados em campanhas anteriores do GRU.
Esta campanha de phishing contra a Burisma Holdings também emprega um redirecionamento HTTP específico, atribuído ao GRU, onde indivíduos não-alvo são direcionados para o login legítimo do webmail do Roundcube, enquanto os alvos que recebem o URL gerado pelo GRU são levados para o site de phishing malicioso Roundcube do GRU.
Por isso, um cenário geopolítico interessante se desenrola: os objetivos dos hackers governamentais russos se alinham com os interesses dos EUA. Presidente Donald Trump.
No entanto, a KGB da nova era não é a única ameaça cibernética relevante, como recent warnings from US Homeland Security sugerem a possibilidade de ataques cibernéticos por parte do Irã.
