Hackers russos exploram falha do Microsoft Office para atacar Governo ucraniano

A Equipa de Resposta a Emergências Cibernéticas (CERT) da Ucrânia alertou para uma série de ataques informáticos realizados por hackers russos que exploraram uma vulnerabilidade no Office, poucos dias depois de a Microsoft a ter corrigido.

Em 26 de janeiro, a Microsoft lançou uma atualização de segurança identificando a vulnerabilidade, que permitia a um hacker ultrapassar um recurso de segurança local, afetando o Office.

Os ataques consistiram na distribuição de ficheiros maliciosos anexados a e-mails alegadamente enviados pelo Comité de Representantes Permanentes (Coreper) da Ucrânia ou fazendo-se passar pelo Centro Hidrometeorológico da Ucrânia.

Estes e-mails foram enviados para 60 endereços ligados ao Governo ucraniano.

Embora os documentos tenham sido enviados três dias após o alerta da Microsoft, a CERT ucraniana afirmou no seu relatório que os metadados associados aos ficheiros mostram que estes foram criados um dia após a atualização de segurança.

A abertura destes documentos maliciosos desencadeia uma série de downloads que instalam malware utilizando uma técnica conhecida como 'COM hijacking', ou sequestro do Modelo de Objetos de Componente do Windows.

A agência ucraniana atribuiu estes ciberataques ao grupo APT28, também conhecido por Fancy Bear e Sofacy, associado à Direção Principal de Inteligência do Estado-Maior das Forças Armadas da Rússia (GRU).

Acusam ainda o grupo de realizar ciberataques contra organizações sediadas na União Europeia.

Entretanto, a Microsoft adicionou uma camada extra de proteção ao Windows Defender, bloqueando ficheiros maliciosos do Office com origem na Internet, a não ser que o utilizador os marque como "fiáveis".