Ciberespionagem iraniana (e um possível golpe lateral da APT).
Fortinet descreve um esforço de spearphishing contra alvos diplomáticos jordanianos que foi evidentemente conduzido pelo Irã. A isca é um conhecido "por favor, confirme o recebimento deste documento", mas a carga útil é mais sofisticada do que o phishing criminoso normal. A macro do Excel no gancho de phishing pode ter sido acompanhada por recursos anti-análise. O próprio malware ficava inativo por seis a oito horas, e os invasores usavam o túnel DNS para comando e controle. Seus três servidores de comando e controle também foram usados de maneira incomum e inteligente: dois deles eram "rigorosamente controlados" e eram criados apenas em horários específicos. O terceiro servidor aparentemente foi usado para direcionamento incorreto, para tornar a atribuição mais difícil. A Fortinet acredita que a campanha foi executada pelo APT34 (também conhecido como Helix Kitten), um grupo de ameaças dirigido pelo governo iraniano.
Outro grupo de ameaças iranianas, o APT35 (ou Charming Kitten), relata o Hacker News, conduzindo ativamente ataques de ransomware. O cluster de atividade é rastreado, pela Secureworks, como Cobalt Mirage. Duas séries de ataques são relatadas, uma usa BitLocker e DiskCryptor "para ganho financeiro"; o outro, embora também tenha implantado ransomware oportunisticamente, é direcionado principalmente para obter acesso e coletar inteligência de alvos de espionagem.
Vulnerabilidades do Roblox em exploração ativa.
Avanan relata que um arquivo de Trojan "escondido em um mecanismo de script legítimo usado para código de trapaça" está afetando os usuários da popular plataforma de jogos Roblox. "A ferramenta," Synapse X, "instala um arquivo executável que instala arquivos de biblioteca na pasta do sistema Windows, dando ao programa o potencial de interromper aplicativos, corromper ou remover dados ou enviar informações de volta ao hacker." O Synapse X tem usos legítimos, mas neste caso está servindo como um conta-gotas, e um dos arquivos que está descartando é um backdoor. O objetivo evidente é usar o Roblox como uma forma de entrar nas redes de interesse; não é simplesmente um hack projetado para irritar os jogadores.
A CIA obtém um CISO.
Rick Baich, CISO da AIG, concordou em retornar ao serviço do governo. Ele assumirá as funções de Diretor de Segurança da Informação da Agência Central de Inteligência e Diretor do Escritório de Segurança Cibernética.
CISA emite alertas de ICS.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu ontem um número incomumente grande de alertas de sistema de controle industrial (ICS):
As seções a seguir referem-se diretamente às fases cibernéticas da guerra híbrida da Rússia contra a Ucrânia. A cobertura contínua da CyberWire sobre a crise que se desenrola na Ucrânia pode ser encontrada aqui.
Crimes de guerra, no espaço físico e no ciberespaço.
Um soldado russo capturado foi levado a julgamento pelas autoridades ucranianas pelo assassinato de um civil nos primeiros dias da guerra. Deutsche Welle identifica o réu como Vadim Shishimarin. Sua unidade estava fugindo das forças ucranianas a leste de Kiev. Com o tanque desativado, Shishimarin disse ter atirado, parado e roubado um carro civil. Enquanto eles estavam indo embora em busca de segurança, Shishimarin teria atirado e matado um homem de 62 anos para impedi-lo de revelar sua posição. Diz-se que Shishimarin reconheceu o assassinato, mas ainda não se declarou. “Recebi ordens para atirar”, disse a AP citando Shyshimarin. “Atirei uma (rodada) nele. Ele cai. E seguimos em frente.” Não se sabe quem ordenou que ele atirasse, ou como a ordem foi recebida.
O assassinato casual de civis é obviamente um crime de guerra, e travar uma guerra agressiva é um crime reconhecido contra a paz. E os ataques cibernéticos? Em que condições uma operação cibernética pode constituir um crime de guerra?
A Wired relata que o Centro de Direitos Humanos da Faculdade de Direito da UC Berkeley solicitou formalmente que o Gabinete do Promotor do Tribunal Penal Internacional (ICC) em Haia considere processar o grupo Sandworm do GRU por crimes de guerra. Esses crimes não foram cometidos durante a guerra atual, no entanto. Os supostos crimes foram o ataque a concessionárias de energia elétrica no oeste da Ucrânia em dezembro de 2015 e a desativação de partes da rede em torno de Kiev em 2016. afetando centenas de milhares de civis.
O Centro de Direitos Humanos está interessado em colocar o ciberespaço sob o escopo do direito internacional e em garantir o reconhecimento do ciberespaço como um quinto domínio de guerra. Os dois ciberataques do GRU são casos atraentes para tais propósitos porque são bem atestados e inequivocamente atribuídos. Eles também tiveram um claro efeito cinético: interromperam a distribuição de energia em partes da Ucrânia. E, finalmente, e isso é o mais importante para as leis de conflito armado, os ataques foram indiscriminados, não dirigidos contra um alvo militar, mas dirigidos contra uma população essencialmente civil.
A extensão do direito internacional ao ciberespaço e o efeito dissuasor que isso pode ter sobre outros atores estatais são os objetivos da solicitação do Centro de Direitos Humanos. Dado que os hackers Sandworm já foram indiciados sob a lei doméstica (incluindo a lei dos EUA) e têm um prêmio por suas cabeças, no que diz respeito aos operadores individuais, uma ação do TPI equivaleria a fazer os escombros legais saltarem, mas o Centro de Direitos Humanos procura estabelecer um princípio.