.
Desde que a Rússia lançou Com a catastrófica invasão em larga escala da Ucrânia em fevereiro, a guerra cibernética que há muito travada contra seu vizinho também entrou em uma nova era – na qual a Rússia às vezes parecia estar tentando determinar o papel de suas operações de hackers no meio. de uma guerra terrestre brutal e física. Agora, de acordo com as descobertas de uma equipe de analistas de segurança cibernética e socorristas, pelo menos uma agência de inteligência russa parece ter se estabelecido em um novo conjunto de táticas de guerra cibernética: aquelas que permitem invasões mais rápidas, muitas vezes violando o mesmo alvo várias vezes em apenas meses, e às vezes até mesmo mantendo acesso furtivo às redes ucranianas enquanto destrói o maior número possível de computadores dentro delas.
Na conferência de segurança CyberwarCon em Arlington, Virgínia, hoje, analistas da empresa de segurança Mandiant apresentaram um novo conjunto de ferramentas e técnicas que, segundo eles, a agência de inteligência militar russa GRU está usando contra alvos na Ucrânia, onde os hackers do GRU há anos carregam muitos dos ataques cibernéticos mais agressivos e destrutivos da história. De acordo com os analistas da Mandiant Gabby Roncone e John Wolfram, que dizem que suas descobertas são baseadas em meses de casos de resposta a incidentes ucranianos da Mandiant, o GRU mudou em particular para o que eles chamam de “viver no limite”. Em vez dos ataques de phishing que os hackers do GRU normalmente usavam no passado para roubar as credenciais das vítimas ou plantar backdoors nos computadores dos usuários involuntários dentro das organizações-alvo, eles agora estão mirando em dispositivos “de ponta” como firewalls, roteadores e servidores de e-mail, muitas vezes explorando vulnerabilidades nessas máquinas que lhes dão acesso mais imediato.
Essa mudança, de acordo com Roncone e Wolfram, ofereceu várias vantagens ao GRU. Isso permitiu que os hackers militares russos tivessem efeitos muito mais rápidos e imediatos, às vezes penetrando em uma rede de destino, espalhando seu acesso a outras máquinas na rede e implantando malware limpador de destruição de dados apenas algumas semanas depois, em comparação com meses em operações anteriores. Em alguns casos, permitiu que os hackers penetrassem no mesmo pequeno grupo de alvos ucranianos várias vezes em rápida sucessão, tanto para ataques de limpeza quanto para ciberespionagem. E como os dispositivos de borda que dão ao GRU seus pontos de apoio dentro dessas redes não são necessariamente eliminados nos ataques cibernéticos da agência, hackeá-los às vezes permitiu que o GRU mantivesse seu acesso a uma rede da vítima mesmo depois de realizar uma operação de destruição de dados.
“Estrategicamente, o GRU precisa equilibrar eventos disruptivos e espionagem”, disse Roncone à Strong The One antes da palestra dela e da Wolfram na CyberwarCon. “Eles querem continuar impondo dor em todos os domínios, mas também são um aparato de inteligência militar e precisam continuar coletando mais informações em tempo real. -feito acesso e habilitar essas operações em ritmo acelerado, tanto para interrupção quanto para espionagem.”
Em uma linha do tempo incluída em sua apresentação, Roncone e Wolfram apontam para nada menos que 19 ciberataques destrutivos que a Rússia realizou na Ucrânia desde o início deste ano, com alvos nos setores de energia, mídia, telecomunicações e finanças do país, bem como agências governamentais. Mas dentro dessa enxurrada de guerra cibernética sustentada, os analistas da Mandiant apontam para quatro exemplos distintos de invasões em que dizem que o foco do GRU em dispositivos de ponta de hackers permitiu seu novo ritmo e táticas.
Em um caso, dizem eles, os hackers do GRU exploraram a vulnerabilidade nos servidores Microsoft Exchange conhecidos como ProxyShell para se estabelecer em uma rede de destino em janeiro e, em seguida, atingiram essa organização com um limpador apenas no mês seguinte, no início da guerra. Em outro caso, os invasores do GRU obtiveram acesso ao comprometer o firewall de uma organização em abril de 2021. Quando a guerra começou em fevereiro, os hackers usaram esse acesso para lançar um ataque de limpeza nas máquinas da rede da vítima – e depois mantiveram o acesso por meio do firewall que permitiu-lhes lançar outro ataque do limpador na organização apenas um mês depois. Em junho de 2021, a Mandiant observou o GRU retornar a uma organização que já havia atingido com um ataque de limpeza em fevereiro, explorando credenciais roubadas para fazer login em seu servidor de e-mail Zimbra e recuperar o acesso, aparentemente por espionagem. E em um quarto caso, na primavera passada, os hackers atacaram os roteadores de uma organização por meio de uma técnica conhecida como tunelamento GRE que lhes permitiu criar um backdoor furtivo em sua rede – apenas alguns meses depois de atingir essa rede com malware de limpeza no início da guerra.
.
