.
O Serviço Estatal Ucraniano de Comunicações Especiais e Proteção de Informações (SSSCIP) afirmou que ciberespiões russos têm como alvo os seus servidores em busca de dados sobre alegados crimes de guerra apoiados pelo Kremlin.
De acordo com a análise, que abrange a evolução das tácticas cibernéticas da Rússia durante o primeiro semestre de 2023, as operações de espionagem deste tipo foram conduzidas por hackers apoiados pelos militares, duplicando entre Janeiro e Junho.
Incidentes suficientemente graves para envolver a Equipa Ucraniana de Resposta a Emergências Informáticas ocorrem agora cerca de cinco por dia.
“Seus objetivos principais eram identificar quais evidências de crimes de guerra russos e exercer controle sobre potenciais espiões destacados em terra tinham nossas equipes de aplicação da lei”, afirma o relatório [PDF]que foi lançado na segunda-feira.
Intrusos ligados ao Serviço Federal de Segurança (FSB), à Diretoria Principal de Inteligência (GRU) e ao Serviço de Inteligência Estrangeiro (SVR) da Rússia também procuraram material que pudesse ser usado em processos criminais contra espiões russos, outros indivíduos, instituições e organizações específicas “potencialmente levando a sanções ou outras ações”, relata o SSSCIP.
A pesquisa é baseada em dados coletados pelo SSSCIP e foi divulgada dias depois do Tribunal Penal Internacional confirmado um “incidente de segurança cibernética” contínuo enquanto investiga suspeitas crimes de guerra cometidos pela Rússia durante a invasão ilegal da Ucrânia.
Além das tentativas de arrombamento visando a aplicação da lei, os serviços de inteligência russos também estiveram por trás de um número crescente de ataques contra empresas do setor privado, afirma-se.
A intenção disto é “alavancar as capacidades cibernéticas para monitorizar os resultados das suas operações cinéticas, incluindo ataques de mísseis e drones”, de acordo com o relatório. “Além disso, estes ataques visavam examinar minuciosamente os planos dos empreiteiros do governo e dos membros da cadeia de abastecimento, como parte das medidas proativas da Ucrânia para ações futuras”.
Agora a boa notícia
Embora os ataques possam ter duplicado, o Ukrainee diz que está a reagir e reduziu drasticamente a taxa de sucesso dos seus adversários.
O CERT da Ucrânia registou apenas 27 incidentes cibernéticos “críticos” no primeiro semestre de 2023, em comparação com 144 no segundo semestre de 2022. Da mesma forma, os ataques direcionados à rede energética registaram uma diminuição durante o mesmo período. O segundo semestre de 2022 sofreu 141 desses incidentes, 16 considerados “críticos” com “impacto registrado”, em comparação com 55 no primeiro semestre de 2023, com oito marcados como críticos.
No geral, os ataques cibernéticos destrutivos que afetaram as operações caíram de 518 para 267.
“Os atacantes parecem estar a usar tácticas menos sofisticadas, empregando uma abordagem de ‘atirar e rezar’, enquanto a defesa da infra-estrutura da Ucrânia melhorou significativamente em comparação com seis meses atrás”, afirma o relatório.
O grupo mais ativo até agora neste ano é a unidade cibernética do FSB Gamaredon, que saltou de apenas 128 operações em 2022 para 103 somente no primeiro semestre de 2023, segundo a pesquisa. A boa notícia: nem todos tiveram sucesso e apenas 11 foram classificados como incidentes críticos ou de alta gravidade.
Os pesquisadores atribuíram o aumento do volume de ataques do Gamaredon a vários fatores, que não são necessariamente um bom presságio para o resto do ano – ou um retrocesso do pós-guerra.
“Isso inclui uma expansão na mão de obra e na capacidade da equipe, a infusão de novos talentos do abundante conjunto de indivíduos qualificados da Rússia e a mobilização de profissionais de TI do setor privado para servir nas forças armadas”, afirma o relatório.
Sandworm por trás da maioria dos ataques destrutivos
Embora o Gamaredon tenha sido o atacante mais prolífico detectado este ano, a maioria dos ataques destrutivos foi realizada pelo Sandworm do GRU. Isso inclui limpar servidores e sistemas de armazenamento de dados, travar sistemas de virtualização, desabilitar redes e criptografar endpoints.
“Durante os últimos seis meses, eles desenvolveram novas variantes de software malicioso (há mais de 10 novas amostras) usando utilitários legítimos (como SDelete, WinRaR) ou recursos integrados de sistemas (por exemplo, armazenamentos NAS)”, observaram os pesquisadores.
No mês passado, as agências de segurança dos Cinco Olhos disseram Verme da areia usou uma variedade de malware Android chamada Infamous Chisel para acessar remotamente dispositivos de soldados ucranianos, monitorar o tráfego de rede, acessar arquivos e roubar informações confidenciais.
Na conferência Black Hat do mês passado, Jen Easterly, chefe da Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA, surpreendeu muitos descrevendo A actual relação de segurança informática entre os EUA e a Ucrânia é mais próxima do que com os parceiros da Five Eyes no ano passado.
“O que temos feito juntos no ano passado é provavelmente o mais próximo que já trabalhamos – operacionalmente falando – de qualquer parceiro estrangeiro em termos de como estamos pensando em compartilhar informações com nossa equipe de resposta a emergências informáticas e enriquecidas com o que estamos obtendo do setor privado e de outros parceiros nacionais”, observou ela
Este grupo também frequentemente tem como alvo os meios de comunicação para influenciar operaçõesafirma o SSSCIP, e a organização não prevê que esta tática mude tão cedo, já que o “uso de propaganda agressiva” continua a ser uma parte fundamental da abordagem da Rússia à guerra cibernética.
O novo relatório ecoa comentários do chefe da segurança cibernética da Ucrânia, Victor Zhora, que, em agosto entrevista com Strong The Onedisse que sua agência documentou uma mudança nos ataques cibernéticos destrutivos que atingiram alvos ucranianos durante o segundo semestre do ano passado, para mais coleta de dados e tentativas de espionagem cibernética que começaram em 2023.
Zhora também alertou que espera que os ataques online da Rússia contra o seu país continuem muito depois do fim da guerra física.
“A Rússia continuará a ser perigosa no ciberespaço durante um longo período, pelo menos até uma mudança completa do sistema político e uma mudança de poder na Rússia, convertendo-os de um agressor num país que deveria pagar por tudo o que fizeram. na Ucrânia e também em outros países”, disse Zhora. ®
.
