Hackers Russos suspeitos de vazamento de senhas do Ministério da Defesa do Reino Unido

Desde 2020, criminosos têm roubado e vazado as senhas do portal MoD Defence Gateway, usado pelo Ministério da Defesa do Reino Unido, em fóruns clandestinos. Pesquisadores apontam para hackers russos como os possíveis responsáveis, com base nas ferramentas empregadas nos ataques. No entanto, há indícios de que os responsáveis possam não estar diretamente ligados ao governo russo, considerando que as credenciais foram colocadas à venda.

O Que é o MoD Defence Gateway?

Militares e civis britânicos utilizam amplamente o portal MoD Defence Gateway para acessar serviços e aplicativos diários. Desenvolvido para uso seguro em dispositivos pessoais, o sistema agora parece ser alvo de hackers que interceptam as credenciais no momento do login, atacando diretamente os dispositivos dos usuários.

Detalhes da Campanha

Hackers comprometeram cerca de 600 credenciais, impactando militares, funcionários públicos e contratados de defesa. Embora especialistas atribuam os ataques a ferramentas de origem russa, ainda não encontraram provas de que grupos estatais estejam diretamente envolvidos ou que os ataques façam parte de uma campanha de espionagem.

Os dados roubados, no entanto, podem ser explorados para:

• Spearphishing: Ataques personalizados para enganar usuários e acessar sistemas mais sensíveis.
• Coerção ou chantagem: Principalmente contra funcionários em missões internacionais.
• Abertura de novas brechas: Como ponto de entrada para campanhas mais amplas.

Impacto e Preocupações

Embora o MoD Defence Gateway não armazene informações confidenciais, roubar credenciais pode expor dados pessoais e profissionais, possibilitando ataques futuros. O uso de autenticação multifator (MFA) no portal pode ter limitado o impacto imediato, mas ainda não está claro até que ponto os dispositivos comprometidos permitiram acessos adicionais.

Funcionários localizados no Reino Unido foram os mais afetados, mas o ataque também atingiu equipes do Ministério da Defesa estacionadas em países como Iraque, Catar, Chipre e outras localidades na Europa continental.

Senhas à Venda em Fóruns

Pesquisadores identificaram que hackers roubaram 124 das 600 senhas comprometidas em 2023, o que indica que a campanha continua ativa. A principal hipótese é que os hackers usaram ataques de phishing direcionados para comprometer os dispositivos dos funcionários.

No entanto, há elementos que levantam dúvidas. Por exemplo, seria incomum que uma operação apoiada por um governo terminasse com a venda das credenciais na dark web, especialmente se o ataque ainda está em andamento. Além disso, o número de credenciais comprometidas (600 de um total de 250.000 usuários) é relativamente baixo para uma campanha que dura anos.

Respostas e Prevenção

O Ministério da Defesa e o Centro Nacional de Segurança Cibernética (NCSC) continuam investigando o incidente e adotaram medidas para monitorar atividades suspeitas em contas comprometidas. Apesar disso, eles alertam que criminosos podem chantagear ou realizar tentativas de phishing avançadas contra os funcionários afetados.

Especialistas em segurança, como Darren James, da Specops Software, enfatizam a gravidade do caso:

“Embora o MoD Defence Gateway use MFA, as credenciais roubadas podem ser exploradas para acessar outros sistemas se os usuários reutilizarem senhas. Além disso, os dados obtidos podem ser usados para coagir vítimas, lançar ataques de engenharia social ou comprometer a cadeia de suprimentos.”

Um Problema Maior?

Em um incidente separado, hackers russos comprometeram recentemente um fornecedor de TI do Ministério da Defesa. Embora sejam descritos como criminosos independentes, fontes afirmam que o grupo é “protegido pelo Kremlin” e busca informações militares e oportunidades para causar caos no Reino Unido.

Este caso reforça a necessidade de governos e organizações revisarem suas práticas de segurança, incluindo a implementação de autenticação forte, detecção de credenciais comprometidas e conscientização contínua de usuários.