Operação Roundish: Descoberto Toolkit de Exploração do Roundcube do APT28 Mirando a Ucrânia
Aprofundamento CEVIU
Aprofundamento
A Operação Roundish revela uma escalada tática do APT28 em ambientes de e-mail corporativo: não se trata mais de exploração pontual de falhas no Roundcube, mas de um ciclo operacional fechado, desde a infiltração via XSS até a exfiltração silenciosa e persistência em infraestrutura containerizada. O toolkit exposto inclui um backdoor Linux em Go com suporte nativo a três vetores de persistência (cron, systemd e SELinux), o que é raro em campanhas direcionadas a serviços web, normalmente focadas em memória ou em arquivos de configuração. Mais preocupante é o uso de side-channel por seletor CSS para extrair tokens CSRF: técnica já teórica em papers acadêmicos (como o estudo da ETH Zurich de 2025), mas agora aplicada em campo contra alvos reais, sem dependência de erros de configuração ou vulnerabilidades conhecidas no servidor.
O ataque à API viewsource em massa indica que os invasores não estão apenas lendo e-mails, mas mapeando estruturas de caixa postal para identificar contas privilegiadas, padrões de comunicação e até dados sensíveis em anexos não criptografados. A escolha do endereço [email protected] como destino das regras Sieve sugere operação de longo prazo: Proton Mail não permite encaminhamento automático para domínios externos por padrão, mas o APT28 está usando o próprio servidor comprometido como intermediário, o que exige manutenção ativa do canal, não apenas coleta passiva.
Por que isso importa
Roundcube é usado por centenas de órgãos públicos ucranianos, além de bancos e provedores de e-mail regionais na CEI. Diferente de clientes desktop, sua arquitetura baseada em navegador torna-o vulnerável a cadeias de ataque que misturam XSS, CSP fraca e confiança cega em extensões de interface, como as regras Sieve, que muitos administradores nunca auditam. A detecção de escape de contêineres nos scripts do toolkit mostra que o APT28 já considera ambientes Docker/Kubernetes como alvo viável, não como exceção. Isso muda o risco: não é mais só sobre proteger o webmail, mas garantir que o host, o orquestrador e até o runtime estejam blindados contra injeções que partem do nível da aplicação.
Perguntas frequentes
Por que redefinir senhas não resolve o problema após esse tipo de ataque?
Porque o toolkit instala regras Sieve persistentes que redirecionam e-mails mesmo após troca de senha. Além disso, ele extrai segredos TOTP diretamente da memória ou do armazenamento local do navegador, contornando a segunda autenticação. A única forma eficaz é invalidar todas as sessões ativas, revogar tokens de API, resetar completamente a configuração do cliente e reconfigurar 2FA com novos dispositivos.
O que é o ataque de side-channel por seletor CSS e por que ele é perigoso?
É uma técnica que explora como navegadores aplicam estilos CSS para inferir conteúdo oculto, por exemplo, medindo tempo de renderização ou alterações visuais ao injetar seletores que só coincidem com certos caracteres de um token CSRF. Não requer falha no servidor, funciona mesmo com HTTPS e CSP bem configurada, e deixa poucos vestígios em logs de acesso.
Como detectar o uso malicioso da API viewsource no Roundcube?
Monitore requisições repetidas ao endpoint /plugins/viewsource/viewsource.php com parâmetros como ?uid= ou ?mbox= em rápida sucessão, especialmente quando combinadas com cabeçalhos User-Agent incomuns ou origens IP não usuais. Também busque por padrões de requisições com intervalos regulares (ex.: a cada 90 segundos) e respostas HTTP 200 com tamanho de corpo acima de 1 MB, indicativo de exfiltração em lote.
Fontes
- hunt.iofonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 13 de março de 2026
- Editoria
- CEVIU Segurança da Informação
