No início do mês passado, A Microsoft alertou que notou um aumento na atividade de grupos de hackers estrangeiros visando as eleições nos EUA. Um desses grupos era o “Phosphorus” do Irã, que visava principalmente as contas da equipe presidencial da POTUS.
Hoje, a empresa anunciou que o mesmo grupo também está atacando os participantes da próxima Conferência de Segurança de Munique. A gigante da tecnologia impediu essas atividades maliciosas depois que foram detectadas pelo Threat Intelligence Information Center (MSTIC) da Microsoft.
A Microsoft declarou que o Phosphorus tinha como alvo mais de 100 indivíduos de alto perfil que participaram da Conferência de Segurança de Munique, bem como do evento Think 20 (T20) na Arábia Saudita. Para quem não sabe, o primeiro é um encontro anual que ocorre há 60 anos, no qual chefes de estado discutem a segurança, enquanto o último é fundamental na formulação de ideias de políticas para as nações do G20.
A empresa diz que a Phosphorus enviou convites falsificados contendo um inglês quase perfeito para os participantes desses eventos por e-mail, oferecendo sessões remotas em função da pandemia. Conseguiu comprometer as contas de vários indivíduos, incluindo especialistas em políticas, acadêmicos e ex-funcionários do governo.
Essa ameaça foi detectada pela primeira vez pelo MSTIC, responsável por rastrear grupos de crimes cibernéticos. A Microsoft continuou dizendo que:
Já trabalhamos com organizadores de conferências que alertaram e continuarão alertando seus participantes, e estamos divulgando o que vimos para que todos possam permanecer vigilantes quanto a esta abordagem sendo usada em outras conferências ou eventos.
Recomendamos que as pessoas avaliem a autenticidade dos e-mails que recebem sobre as principais conferências, garantindo que o endereço do remetente pareça legítimo e que todos os links incorporados redirecionem para o domínio oficial da conferência. Como sempre, habilitar a autenticação multifator em contas de e-mail comerciais e pessoais impedirá com sucesso a maioria dos ataques de coleta de credenciais como esses. Para qualquer pessoa que suspeite que pode ter sido vítima desta campanha, também encorajamos uma revisão cuidadosa das regras de encaminhamento de e-mail em contas para identificar e remover quaisquer regras suspeitas que possam ter sido definidas durante um comprometimento bem-sucedido.
O gigante da tecnologia de Redmond também compartilhou os endereços de e-mail, domínios e subdomínios usados neste ataque e pediu às equipes de TI que instalassem perímetros de segurança para se proteger contra atividades maliciosas semelhantes no futuro. A Microsoft acredita que o objetivo desse ataque cibernético foi a coleta de inteligência, e suas investigações até agora indicaram que ele não tem relação com as próximas eleições nos Estados Unidos.
