Em meio à guerra em andamento entre a Rússia e a Ucrânia, a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou na sexta-feira que hackers patrocinados pelo Estado bielorrusso estão atacando as contas de e-mail privadas de militares ucranianos e indivíduos relacionados.
Em um anúncio publicado em Facebook, o CERT-UA disse que as campanhas de spearphishing visam contas de e-mail privadas ‘i.ua’ e ‘meta.ua’ das forças de defesa ucranianas. Os e-mails de spearphishing estão sendo enviados de dois domínios (i[.]ua-aporte[.]espaço e identificação[.]bigmir[.]espaço).
O e-mail de phishing visa que a vítima clique em um link incorporado para verificar suas informações de contato, a fim de evitar a suspensão permanente de suas contas de e-mail.
Abaixo está um exemplo do e-mail malicioso:
“Querido usuário! Suas informações de contato ou não você é um bot de spam. Por favor, clique no link abaixo e verifique suas informações de contato. Caso contrário, sua conta será excluída irremediavelmente. Obrigado pela sua compreensão.
Atenciosamente, Equipe I.UA”
Uma vez que a conta de e-mail é comprometida, os invasores, pelo protocolo IMAP, obtêm o a todas as mensagens. Mais tarde, os invasores usam os detalhes de contato do catálogo de endereços da vítima para enviar os e-mails de phishing.
O CERT-UA culpou a campanha de phishing em andamento no grupo ‘UNC1151’ com sede em Minsk, identificando seus membros como oficiais do Ministério da Defesa da República da Bielorrússia.
Em novembro de 2021, a empresa de segurança cibernética americana Mandiant vinculou formalmente o grupo UNC1151 ao governo da Bielorrússia. Também vinculou o grupo por trás de uma operação que rastreou sob o codinome de Ghostwriter, que envolvia operações de hackers e vazamentos visando membros da OTAN.
De acordo com Ben Read, da Mandiant, o grupo UNC1151 tem como alvo os militares ucranianos extensivamente nos últimos dois anos, “portanto, essa atividade corresponde ao seu padrão histórico”.
“Essas ações do UNC1151, que acreditamos estar ligadas aos militares da Bielorrússia, são preocupantes porque os dados pessoais de cidadãos e militares ucranianos podem ser explorados em um cenário de ocupação e o UNC1151 usou suas invasões para facilitar a campanha de operações de informações do Ghostwriter. O vazamento de documentos enganosos ou fabricados retirados de entidades ucranianas pode ser aproveitado para promover narrativas amigáveis à Rússia e à Bielorrússia”, disse Read em comunicado ao TechCrunch.
Além do CERT-UA, o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia (SSSCIP) emitiu um aviso separado na sexta-feira sobre outra campanha de phishing ativa que visa cidadãos ucranianos com documentos maliciosos. Ele alertou seus cidadãos contra a abertura de tal conteúdo malicioso.
Aviso ?? Um #ataque de phishing começou contra os ucranianos! Os endereços de e-mail dos cidadãos recebem cartas com arquivos anexos de natureza incerta. A distribuição em massa de tais mensagens para mensageiros pode acontecer. #ciberataques #Ucrânia pic.twitter.com/YPvFH2oNk0
— SSSCIP Ucrânia (@dsszzi) 25 de fevereiro de 2022
“As forças inimigas pretendem obter o aos dispositivos eletrônicos dos ucranianos para coletar uma grande quantidade de informações”, disse o SSSCIP.
