.
Recurso À medida que as forças especiais russas se envolvem mais abertamente em operações online, os defensores da rede devem estar à caça de intrusos digitais que buscam realizar ataques cibernéticos que terminem em destruição física e danos.
“Infelizmente, se esses atores estão dispostos a realizar sabotagem no reino físico, eles provavelmente estão dispostos a fazê-lo por meios cibernéticos”, disse John Hultquist, analista-chefe da Mandiant Intelligence. O Registro.
Os comentários de Hultquist seguem as notícias de 5 de setembro de 2024, de que a Unidade 29155 da agência de inteligência militar russa GRU tem como alvo instalações de infraestrutura crítica ocidentais, procurando portas de internet abertas e vulnerabilidades para explorar.
Dias depois, descobriu-se que autoridades dos EUA estão preocupadas que o Kremlin possa estar conspirando para “sabotar” cabos submarinos e outras infraestruturas por meio de outra unidade militar secreta e dedicada, chamada Diretoria Principal do Estado-Maior para Pesquisa em Alto Mar (GUGI).
Na sexta-feira, o Departamento de Estado acusou Moscou de incorporar uma “unidade com capacidades operacionais cibernéticas” à agência de notícias estatal RT desde 2023.
“Há riscos sérios de várias fontes, e as organizações devem priorizar com base em sua exposição geográfica”, Hultquist nos disse. “Felizmente, temos algum insight sobre esses atores de ameaças e os defensores devem dar uma olhada cuidadosa em seus controles e se eles estão prontos para as táticas que esses atores empregam.”
Até o momento, os especialistas da Unidade 29155 têm escaneado domínios da web em pelo menos 26 membros da OTAN e outros países da União Europeia mais de 14.000 vezes, de acordo com o FBI. Em um comunicado conjunto de segurança cibernética emitido no início deste mês, o FBI e agências parceiras de nove países detalham o direcionamento de organizações governamentais e de infraestrutura crítica, e sugerem mitigações para melhorar a segurança cibernética com base na atividade maliciosa.
Agências governamentais ocidentais e empresas privadas de segurança cibernética já vincularam outras equipes de espionagem e cibernéticas ao GRU. Isso inclui o Fancy Bear, conhecido por interferir nas eleições dos EUA e fazer phishing em caixas de entrada de e-mail da Microsoft, e o Sandworm, que invadiu redes de usinas de água dos EUA e da Europa no início deste ano.
Mas a Unidade 29155 é uma fera totalmente diferente. Esta unidade ultrassecreta foi ligada a tentativas de assassinato e golpes por toda a Europa, e só se tornou publicamente conhecida em 2019. Desde pelo menos 2020, a Unidade 29155 também está envolvida em operações cibernéticas ofensivas, de acordo com o Tio Sam.
‘Prenúncio de ataques híbridos destrutivos’
“Esta é uma mudança notável, já que os militares russos anteriormente utilizavam criminosos cibernéticos como mercenários”, disse Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security. O Registro. “Os russos reconhecem que o calcanhar de Aquiles das nações da OTAN é sua dependência do ciberespaço e, portanto, estão lançando ataques cibernéticos destrutivos generalizados contra infraestruturas críticas ocidentais.”
Os alertas recentes do Feds “devem servir como um prenúncio de ataques híbridos destrutivos neste outono, nos quais o impacto cinético se manifestará”, acrescentou Kellermann. “Vidas serão perdidas.”
O movimento da Rússia para militarizar o ciberespaço aumentará à medida que cresce a percepção de que, cineticamente, seus militares podem não vencer a guerra ilegal na Ucrânia, acredita Kellermann. Isso também aumentará os motivos de Putin para punir governos ocidentais por ajudar seu país vizinho.
“Eles querem punir o Ocidente, e especificamente punir as infraestruturas críticas do Ocidente por apoiar a Ucrânia”, disse Kellermann. “É preocupante, porque muitos dos zero-days que são criados por aí foram tipicamente criados pelos militares ou por serviços de inteligência.”
Quem ama dias zero? Unidades militares
Em um relatório de março, o Threat Analysis Group (TAG) do Google e a divisão Mandiant disseram que rastrearam 97 vulnerabilidades de dia zero encontradas e exploradas por criminosos em 2023. Isso é consideravelmente mais do que o ano anterior, que teve 62 dessas brechas. Em outras palavras, um aumento de 56% em explorações de dia zero, ano a ano.
Kellermann também destacou uma recente troca de prisioneiros na qual um ex-coronel do FSB condenado por assassinato, juntamente com vários cibercriminosos russos, foram devolvidos a Moscou.
“Estou muito preocupado que [Russia] está realmente se inclinando para esse conceito de guerra híbrida agora”, ele acrescentou. “À medida que eles estão lendo as folhas de chá, eles estão percebendo que terão que criar muito mais dor para o Ocidente por seu apoio à Ucrânia nos próximos meses.”
Embora os nomes e a vergonha dos agentes do GRU pelo governo federal, juntamente com o alerta de segurança cibernética do FBI, sejam “incrivelmente importantes” – embora seja improvável que os cidadãos russos acabem atrás das grades – disse o chefe de divulgação da Cisco Talos, Nick Biasini. O Registro que ele espera mais do mesmo das forças cibernéticas de Moscou.
Ou seja, mais espionagem em agências governamentais ocidentais e outros alvos de alto perfil, ao mesmo tempo em que concentra ataques cibernéticos destrutivos contra a Ucrânia.
“Agir abertamente de forma destrutiva dentro da Ucrânia é uma coisa, mas agir abertamente de forma destrutiva e maliciosa contra alvos que estão fora da Ucrânia, especialmente aqueles que estão ligados à OTAN, não acho que seria muito provável”, disse Biasini.
“Eles definitivamente poderiam atacar cabos submarinos, ou coisas que são facilmente negáveis”, ele acrescentou. Mas fora dos ataques híbridos onde Moscou poderia alegar negação plausível, Biasini disse que não espera ataques abertos contra infraestrutura crítica ocidental nos próximos meses.
“O WhisperGate e ataques destrutivos similares levam muito tempo para se desenvolver, e acho que uma das grandes conclusões disso é que a Rússia está ocupada com a guerra na Ucrânia.”
Mas mesmo com os alvos físicos de Putin mais próximos de casa, as organizações ocidentais devem tomar medidas para impedir as tentativas de espionagem em andamento da Rússia, que não mostram sinais de desaceleração. As duas principais sugestões de Biasini: corrigir os sistemas de TI e usar autenticação multifator (MFA).
“Parece bobagem ficar trazendo essas coisas à tona constantemente, mas esse tipo de coisa realmente faz uma grande diferença”, disse ele. ®
.
