Enquanto 2021 se encerrava, na Tempest, nós escrevíamos o relatório “5 ameaças que pautaram a cibersegurança em 2021 e as tendências para 2022“, e acompanhávamos as tensões que se avolumavam entre Rússia, Ucrânia e a OTAN; naquele momento antecipamos que os ataques cibernéticos no âmbito dos interesses geopolíticos seriam um tema determinante para traduzir o que seria a cibersegurança em 2022.
Dias após a nossa publicação, a guerra foi iniciada e os ataques cibernéticos foram centrais na criação de um cenário de desestabilização que permitisse a inserção de outras peças no teatro de operações do conflito, da mesma forma que, durante o século XX, os bombardeios aéreos foram usados como método para abrir o caminho para as tropas em solo.
Ocorre que, assim como nos conflitos cinéticos, os ataques cibernéticos possuem o potencial de causar impactos em negócios legítimos, com o agravante no caso cibernético de que as vítimas podem estar em qualquer lugar do mundo, por isso este assunto é relevante para tomadores de decisão em organizações de todo tipo e que dependem do ciberespaço para operar.
Mais uma guerra
Os primeiros movimentos no ciberespaço que desembocaram na atual guerra foram documentados pela Microsoft em meados de janeiro, em ataques com ameaças destrutivas, ou seja, malwares que apagam de forma irrecuperável o conteúdo dos sistemas. Estes incidentes afetaram alvos na Ucrânia entre os dias 13 e 14 daquele mês; entre estes alvos estavam os sistemas de organizações governamentais, entidades sem fins lucrativos e de tecnologia da informação sediadas no país.
O Centro de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um relatório poucos dias depois afirmando que o vetor de ataque mais provável teria sido a exploração de falhas na cadeia de suprimentos dessas empresas, mas não descartava também a exploração de vulnerabilidades de conhecimento público, como a Log4Shell, recém descoberta à época.
Estes incidentes, somados a defacements e a ataques de DDoS documentados originalmente em meados de fevereiro, eram somente os primeiros movimentos dos peões no tabuleiro. O jogo se tornou verdadeiramente global entre os dias 23 e 24 de fevereiro, véspera e primeiro dia da guerra, com a disseminação do wiper Cyclops Blink, desenvolvido pelo grupo de adversários Sandworm para destruir o firmware de modems de acesso à Internet, sobretudo dispositivos usados em ambientes domésticos ou em pequenos escritórios.
O objetivo era causar um apagão no acesso à Internet sem derrubar os links do país; assim seria possível desorientar o governo e a população ucraniana, desabilitando um meio importante para a coordenação das atividades de resposta e proteção das pessoas mas, ao mesmo tempo, preservando a infraestrutura tecnológica do país, a qual seria usada pela Rússia em uma eventual ocupação.
O caminho para o ataque aconteceu por meio da infraestrutura da Viasat, empresa de telecomunicações americana que intermedeia o acesso à Internet via satélite com diversos provedores pelo mundo. Em nota publicada em março, a Viasat afirma que os atacantes acessaram seu ambiente com o objetivo de usá-lo como ponte para alcançar o provedor de acesso local Skylogic e, a partir da rede desta empresa, ter acesso aos modems.
Nos meses que se seguiram, à medida que o combate cinético escalava, várias hostilidades foram desencadeadas também no domínio cibernético. Elas contaram, claro, com as operações militares e de inteligência dos países envolvidos no conflito e também de seus aliados, mas também com ações de grupos hacktivistas motivados ideologicamente.
No hacktivismo não é possível saber quem está por trás da máscara, então não podemos classificar todos os seus ataques como ideológicos; pelo contrário, temos que considerar as operações hostis nesse campo também como possíveis atos de países com interesses na guerra e que usam o hacktivismo como uma forma de conduzir atividades ofensivas de forma anônima.
Até o momento, os ataques causaram danos a entidades nos dois principais países envolvidos na guerra e também a organizações operando em países sem vínculo direto com o conflito, com múltiplas campanhas baseadas em, pelo menos, oito famílias de malware[1] usadas em ataques destrutivos contra mais de 40 organizações na Ucrânia e hostilidades variadas contra entidades russas. Destaque para a intrusão seguida do vazamento de dados da Roskomnadzor, a agência de censura do Kremlin.
Reveses em adversários significativos
Até a quadrilha de ransomware Conti foi diretamente afetada pela guerra, após um de seus operadores declarar apoio incondicional à Rússia assim que o conflito começou.
Em resposta ao pronunciamento, um (ou mais) membros com acesso a dados importantes da quadrilha vazou mensagens de seus grupos privados, bem como dados sensíveis sobre o dia a dia da gangue e o código-fonte do seu ransomware, o qual foi posteriormente adaptado por um coletivo autodenominado Network Battalion 65′ em ataques contra entidades russas.
Os APTs russos Sandworm e APT28, que possuem longo histórico de ataques notáveis, também sofreram reveses em meio ao conflito.
O Sandworm (cuja atividade é documentada desde 2007, com destaque para os ataques que deixaram a Ucrânia no escuro em 2015 e 2016), tentou, sem sucesso, repetir o feito com uma variante do malware usado no blackout de 2016, a Industroyer2. Em abril, autoridades dos Estados Unidos tomaram o controle de uma de suas botnets, a Cyclops Blink, neutralizando a ameaça.
Já o APT28, também chamado de Fancy Bear (cujo ataque de maior relevância talvez seja a intrusão seguida do vazamento de dados do Comitê do Partido Democrata dos Estados Unidos, em meio à campanha presidencial de 2016), teve o controle de sua infraestrutura tomado pela Microsoft, a qual, após obter as devidas autorizações legais, neutralizou os ataques do APT28 em curso naquele momento.
Desinformação
Uma batalha pelo imaginário das pessoas, sejam elas diretamente ligadas ao conflito, ou não, também se intensificou em meio à guerra. Interceptadores de sinal de celular, conhecidos como IMSI-catchers, foram usados no envio de mensagens SMS cujo objetivo era afetar o moral das tropas Ucranianas. Estações improvisadas também foram usadas para enviar mensagens dizendo que os caixas eletrônicos do país estariam indisponíveis, visando causar pânico na população.
Mas é nas redes sociais que este tipo de tática tem se concentrado. A Meta afirmou, em setembro, ter derrubado uma grande rede de desinformação com origem na Rússia e foco em pessoas na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. Estas campanhas, partiram de duas empresas registradas na Rússia como Structura National Technologies, uma empresa de tecnologia da informação e Агентство Социального Проектирования (Agência de Design Social, em tradução livre), uma empresa de consultoria de marketing e política.
Sinais adiante
Fez parte da retórica de muita gente uma suposta escassez de eventos de “ciberguerra” relevantes no atual conflito entre Rússia e Ucrânia. Como se os incidentes ocorridos até o momento não estivessem à altura das expectativas para se considerar que houve um conflito cibernético.
O assunto foi inclusive objeto de um artigo na Foreign Affairs assinado por David Cattler e Daniel Black, respectivamente, o Secretário-Geral Adjunto para Informações e Segurança e o Analista Principal na Divisão de Análise de Ameaças Cibernéticas na OTAN. Nele, os especialistas argumentam que sim, há um conflito cibernético em curso e ele tem sido, por sinal, bastante intenso.
É importante considerar que, embora seja farta a documentação sobre muitos dos ataques que têm ocorrido, sua incidência não é frequente na grande imprensa. Em muitos casos, devido a documentação ser hermeticamente técnica, mas também porque os ataques cibernéticos, sobretudo aqueles conduzidos por grupos experientes, deixam um rastro maior de dúvidas do que de certezas sobre a identidade do adversário, sendo que alguns deles podem permanecer silenciosos por anos no ambiente das vítimas.
É possível dizer que a atual fase da Guerra Russo-Ucraniana foi responsável por elevar o patamar sobre o que até então conhecíamos sobre o conflito cibernético, de modo que tanto operações ofensivas quanto defensivas (e até hacktivistas) passaram por um aperfeiçoamento em suas técnicas, acelerando uma evolução que já era fartamente documentada, gerando vitórias e derrotas entre os mais variados atores e tornando o acúmulo de poder cibernético algo menos assimétrico.
Ou seja, quem acompanhou o tema no decorrer do ano testemunhou forças, que até então eram tratadas como se tivessem uma aura de invencibilidade, perderem o controle de parte de seus ativos, desmistificando a imagem, muitas vezes artificial, de que só um país dominaria o espaço cibernético.
Não é possível afirmar que esse “gênio um dia voltará para a garrafa”. Pelo contrário, o acúmulo de saberes e ferramentas, bem como seu uso, tende a se intensificar. Sobretudo porque outros atores do cibercrime têm cada vez mais se profissionalizado e tanto criminosos, quanto as forças de inteligência e de segurança usam as mesmas ferramentas e adotam técnicas semelhantes, de modo que uma atividade retroalimenta a outra e ambas seguem progredindo.
Às organizações que precisam defender seus ambientes é muito importante considerar o movimento das forças geopolíticas em sua estratégia, para além das medidas tradicionais de segurança. Isso porque, no âmbito cibernético, dois ou mais Estados-Nação lutando podem causar danos que transbordam quaisquer limites políticos, pois no ciberespaço as fronteiras não são nada sólidas e, em meio a hostilidades como estas, os atores do conflito podem usar quaisquer recursos disponíveis, inclusive os de sua empresa, de modo a obter vantagem para si.
Ter o apoio de um time de threat intelligence que saiba traduzir estes eventos em insumos técnicos para sua proteção pode ser de grande ajuda, bem como a adoção da disciplina de Threat Hunting para identificar possíveis indícios de que sua rede está, de algum modo, envolvida em um conflito.
Principais eventos de cibersegurança ocorridos em 2022 no contexto da guerra
- 15/01 – Microsoft reporta a existência de malware afetando o governo ucraniano e várias organizações sem fins lucrativos e de tecnologia.
- 14/02 – Adversários exibem a mensagem “Esperem pelo pior” em sites de 70 entidades governamentais.
- 15/02 – Ataques de DDoS indisponibilizam serviços do governo ucrâniano, bancos, rádios, e outros websites por várias horas.
- 23/02 – Ataques contra websites do governo e com o malware HermeticWiper impactam organizações dos setores financeiro, de tecnologia e de aviação civil.
- 24/02 – Ataque contra a rede de satélite KA-SAT (operada pela Viasat) de modo a facilitar os primeiros movimentos das tropas russas.
- 25/02 – Ataques com o malware IsaacWiper contra sites do governo ucraniano.
- 26/02 – Sites do Kremlin e de outras agências russas sofrem ataques de DDoS.
- 28/02 – São documentados ataques com as ameaças FoxBlade.A, um trojan com capacidades para disparar ataques de DDoS e FoxBlade.B, um downloader, contra o governo ucraniano.
- 1/03 – Grupo de ransomware Conti posta comentário em apoio à Rússia e sofre vazamento de sua comunicação, do código-fonte da ameaça e de outros arquivos.
- 1/03 – Documentada a ocorrência de diversos ataques do grupo Ukrainian Cyber Guerrilla contra sistemas de energia e de transporte na Rússia.
- 3/03 – Conti desativa infraestrutura após vazamento dos seus dados.
- 9/03 – UE discute fundo para aumentar resiliência da Ucrânia em telecomunicações e cibersegurança.
- 11/03 – Agências de inteligência ocidentais colaboram com a investigação do ataque contra a Viasat.
- 11/03 – Anonymous ataca a agência de censura russa Roskomnadzor e vazam e-mails e arquivos.
- 13/03 – Ataque atinge filial alemã da empresa de energia russa Rosneft.
- 28/03 – A empresa estatal de telecomunicações Ukrtelecom da Ucrânia sofre interrupção no serviço de internet após um ataque cibernético.
- 30/03 – Campanha de phishing do APT russo Gamaredon afeta alvos na OTAN, militares do Leste Europeu, além de ONGs americanas, um empreiteiro de defesa ucraniano e um militar de um país da região dos Balcãs.
- 31/03 -Malware usado no ataque contra a Viasat é documentado.
- 6/04 – Autoridades dos Estados Unidos tomam o controle da infraestrutura da botnet Cyclops Blink e neutralizam a ameaça.
- 7/04 – Microsoft toma o controle da infraestrutura do APT28 e neutraliza boa parte de seus ataques.
- 8/04 – Ataques cibernéticos com origem na Rússia afetam a Finlândia. O incidente ocorreu em meio a uma suspeita de violação do espaço aéreo por aeronaves russas.
- 12/04 – Sandworm tenta colocar a Ucrânia em situação de blackout, mas falha.
- 27/04 – Microsoft contabiliza aproximadamente 40 ataques cibernéticos contra a Ucrânia desde o início do conflito.
- 30/04 – Meta afirma ter removido 46 páginas, 91 contas no Facebook, 2 grupos e 1 conta no Instagram ligadas a operações de desinformação russas.
- 19/05 – Mandiant detalha extensa campanha de desinformação visando manipular a opinião pública sobre o conflito.
- 9/06 – Rússia adverte o Ocidente de que os ataques cibernéticos contra sua infra-estrutura corriam o risco de levar a um confronto militar direto.
- 29/06 – A Noruega é atacada pelo grupo hacktivista de orientação russa Killnet e acusa o país de conduzir o ataque.
- 7/09 – Google identifica que adversário com histórico de ataques motivados financeiramente também atuou em incidentes alinhados com o governo da Rússia.
- 27/09 – Meta afirma ter derrubado uma grande rede de desinformação com origem na Rússia e atividade na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia.
- 6/12 – Banco russo VTB é alvo de ataque de DDoS massivo. Grupo IT Army of Ukraine assume autoria.
- 15/12 – Meta atualiza post sobre campanha de desinformação publicado em setembro com a informação de que as operações de desinformação russas anteriormente citadas são baseadas em duas empresas no país.
[1] A Microsoft cataloga essas famílias como 1-WhisperGate ou WhisperKill
[2]FoxBlade, também chamado de Hermetic Wiper
[3]SonicVote também chamado de HermeticRansom
[4] CaddyWiper
[5]DesertBlade
[6]Industroyer2
[7]Lasainraw também chamado de IssacWiper
[8]FiberLake, também chamado de DoubleZero.
Texto originalmente publicado no blog Tempest Trends. Reprodução autorizada.
- 1
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.