Microsoft fecha instâncias do Azure Active Directory usadas para espionagem

A Microsoft fechou instâncias do Azure Active Directory que são usadas por invasores, suspendendo 18 "aplicativos" identificados como um componente do canal de comando e controle de um grupo de espionagem chinês. Segundo o DarkReading, chamado de GADOLINIUM pela Microsoft, o grupo de ataque cibernético adotou uma combinação de infraestrutura em nuvem que pode ser rapidamente reconstituída no caso de uma queda, e ferramentas de código aberto que podem ajudar as ações dos invasores a se misturarem a atividades legítimas.

Cada vez mais serviços baseados em nuvem e ferramentas de código aberto são usados para criar sua infraestrutura de coleta de dados e ciberataques, tentando esconder suas atividades na enorme quantidade de serviços e recursos usados por organizações legítimas. O GADOLINIUM, também conhecido como APT40, Kryptonite Panda e Leviathan, tem como foco o roubo de informações marítimas e pesquisas associadas de universidades para promover a expansão de sua marinha na China, de acordo com uma análise da empresa de serviços de segurança cibernética FireEye. Enquanto o grupo de espionagem mexe com infraestruturas em nuvem desde 2016, o uso de ferramentas de código aberto só aconteceu nos últimos dois anos, segundo disse a Microsoft em sua própria análise.

O GADOLINIUM não é o único grupo de espionagem a usar ferramentas comuns para tentar escapar da detecção. Várias empresas de segurança notaram que os invasores estão cada vez mais usando ferramentas administrativas já instaladas nos sistemas direcionados como forma de ocultar suas atividades. Outro grupo de ciberataque chinês, conhecido como APT41, Wicked Panda, Barium ou Axiom, usou ferramentas amplamente disponíveis como o Microsoft BITSAdmin e a estrutura Metasploit para atacar uma ampla seção transversal de países e setores, atingindo alvos na Austrália, Canadá, Itália, Japão, Filipinas, Qatar e Suécia, entre outros.