O Grupo de Análise a Ameaças (TAG no acrónimo em inglês) da Google revelou ter descoberto e ajudado a sanar uma vulnerabilidade no servidor de email Zimbra Collaboration. Apesar da ação da equipa de segurança, a investigação concluiu que piratas informáticos conseguiram explorar a CVE-2023-37580 (nome da vulnerabilidade) para roubar dados dos governos da Grécia, Moldávia, Tunísia, Vietname e Paquistão.
O esquema terá arrancado na Grécia em junho, com os atacantes a enviarem correio eletrónico para as caixas de email afetadas pela falha. Bastava a vítima clicar no link da mensagem, enquanto estivesse dentro da conta Zimbra, para ser alvo do roubo de dados e de um reencaminhamento automático do endereço. Apesar de a Zimbra ter lançado uma correção no GitHub a 5 de julho, as vítimas demoraram bastante tempo a aplicá-la, o que significa que estiveram expostas durante este período.
A equipa da Google salienta que “estas campanhas ilustram como os hackers monitorizam repositórios de código aberto para explorar de forma oportunista as vulnerabilidades cujas correções já estão disponíveis, mas não chegam aos utilizadores finais”.
Depois dos ataques em junho ao governo grego, seguiram-se mais três grupos, segundo a Google, que afetaram outros governos de outras partes do mundo, nos meses subsequentes.
A Zimbra Collaboration conta com mais de 200 mil clientes, incluindo mil organizações governamentais: “A popularidade da plataforma entre organizações que têm orçamentos de tecnologias da informação baixos assegura que é um alvo atrativo para os adversários”, concluiu a empresa de cibersegurança ESET depois de uma campanha massiva de phishing detetada já em abril deste ano.
