.
O uso de malware pela Rússia para dar suporte aos seus esforços militares na Ucrânia não mostra sinais de diminuição, enquanto suas táticas evoluem continuamente para contornar as proteções.
O Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia (SSSCIP) publicou seu relatório semestral sobre a atividade cibernética da Rússia na guerra esta semana, observando um aumento de 90% nos incidentes envolvendo infecções por malware.
As proteções de e-mail são amplamente implementadas e, de acordo com o relatório do SSSCIP, elas são bastante eficazes, o que significa que os russos precisam ser mais criativos ao encontrar novas maneiras de instalar malware dentro das fronteiras da Ucrânia.
O relatório detalha um estudo de caso no qual o UAC-0184, um conhecido grupo russo de ciberespionagem, tem como alvo militares, usando especificamente aplicativos de mensagens como o Signal para roubar documentos confidenciais.
“Equipados com amplos dados pessoais e números de telefone de contato, os hackers do UAC-0184 se passam por outros e iniciam a comunicação com suas vítimas pretendidas, geralmente por meio do Signal”, diz o relatório. “Vale a pena notar que eles empregam quaisquer recursos disponíveis para ‘preparar’ seus alvos, incluindo plataformas de namoro.
“Depois de ganhar a confiança da vítima, sob o pretexto de enviar documentos relacionados a prêmios, filmagens de combate ou recrutamento para outras unidades, os hackers enviam um arquivo contendo um arquivo de atalho.
“Abrir o arquivo de atalho em um computador exibe um arquivo de isca relevante para o tópico da conversa enquanto simultaneamente infecta o sistema com um malware de download, que então instala software de controle remoto. Dessa forma, o UAC-0184 obtém acesso total ao computador da vítima.”
As iscas de mensagens geralmente são temáticas em torno de quatro áreas principais:
-
Solicitações de informações, como detalhes de contato ou confirmação de que o destinatário recebeu alguns documentos
-
Táticas de intimidação enganosas semelhantes a e-mails de spam falsos, por exemplo, tentando convencer o destinatário de que ele está sendo investigado por comportamento recente
-
Promessas de recompensas como relógios e licenças
-
Informações falsas sobre transferência para outra unidade
O malware não para por aí, já que cepas populares como o Smokeloader foram identificadas em outras campanhas de phishing mais especulativas do tipo “spray and pray”, enquanto ransomware também foi visto em “vários” casos.
Uma das tendências que o SSSCIP destacou foi o interesse renovado da Rússia em ataques cibernéticos disruptivos. A guerra começou poucas horas depois do ataque destrutivo da Rússia à Viasat, que envolveu o malware WhisperGate wiper, e incidentes semelhantes continuam surgindo profundamente no terceiro ano do conflito.
Em março, a Rússia tentou um ataque cibernético destrutivo generalizado contra quase 20 organizações de infraestrutura de energia na Ucrânia, tendo sucesso em pelo menos alguns casos.
Os ataques envolveram o comprometimento de três cadeias de suprimentos simultaneamente, observou o relatório, acrescentando que a infecção inicial ocorreu por meio de “um provedor de serviços compartilhado”.
A Ucrânia atribuiu os ataques ao UAC-0002, também conhecido como Sandworm, um dos grupos cibernéticos ofensivos mais prolíficos da Rússia, ligado a ataques a instalações de água nos EUA e na UE, às Olimpíadas de Inverno de 2018, ao NotPetya e a vários outros grandes ataques à infraestrutura crítica da Ucrânia.
“Atacar um número tão grande de organizações individualmente é uma tarefa desafiadora”, diz o relatório. “Portanto, dessa vez, eles executaram um ataque à cadeia de suprimentos, mirando pelo menos três cadeias de suprimentos simultaneamente.
“Essa conclusão foi tirada do fato de que, em alguns casos, o acesso inicial não autorizado estava correlacionado à instalação de software especializado contendo backdoors e vulnerabilidades, enquanto em outros, os invasores comprometeram contas de funcionários do provedor de serviços que rotineiramente tinham acesso aos sistemas de controle industrial (ICS) de organizações para manutenção e suporte técnico.”
Os investigadores encontraram evidências de várias cepas de malware instaladas nos sistemas de organizações de infraestrutura crítica, como LoadGrip e BiasBoat — ambas variantes do QueueSeed baseadas em Linux.
O SSSCIP escreveu em seu relatório: “Dada a operação desses sistemas de software especializados dentro do ICS dos objetos alvos, os invasores os utilizaram para movimentação lateral e escalada do ataque cibernético contra as redes corporativas da organização.
“Por exemplo, em tais sistemas, shells web PHP pré-criados como Weevely, o túnel PHP Rgeorg.neo ou Pivotnacci foram encontrados em diretórios de software especializados.
“É provável que o acesso não autorizado ao ICS de um número significativo de instalações de fornecimento de energia, aquecimento e água tivesse como objetivo amplificar o impacto dos ataques com mísseis na infraestrutura da Ucrânia na primavera de 2024.”
Um resumo do incidente da Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) na época observou que os ataques puderam ocorrer devido à segmentação de rede inadequada e à “atitude negligente” dos fornecedores de software que não corrigiram vulnerabilidades “banais” de execução remota de código.
Mantendo um perfil discreto
Yevheniya Nakonechna, chefe do Centro Estatal de Proteção Cibernética do SSSCIP, disse que a marca registrada da atividade cibernética da Rússia em 2024 tem sido mirar “em qualquer coisa diretamente conectada ao teatro de guerra”, tentando manter um perfil discreto e acesso persistente em sistemas-chave usados pelos militares.
“Os hackers não estão mais apenas explorando vulnerabilidades onde podem, mas agora estão mirando áreas críticas para o sucesso e suporte de suas operações militares”, disse ela.
Apesar do retorno da Rússia a ataques destrutivos semelhantes aos vistos nos estágios iniciais da guerra, sua ambição de permanecer (em grande parte) fora do radar é apoiada pelos números coletados pelo CERT-UA e pelo SSSCIP.
O exército cibernético de Putin continua tão ativo quanto sempre, registrando um aumento de 19% no total de ataques no primeiro semestre de 2024. No entanto, os incidentes investigados pela Ucrânia foram categorizados principalmente como de baixa gravidade.
Em comparação com os últimos seis meses de 2023, os incidentes de gravidade “crítica” e “alta” caíram 90% e 71%, respectivamente. Do total de 1.739 incidentes analisados, apenas 48 se enquadraram na categoria mais séria, embora o contínuo direcionamento da Rússia aos setores governamental e militar continue sendo uma preocupação.
“A guerra persiste, e o ciberespaço continua sendo um campo de batalha por si só”, diz o relatório. “O inimigo está determinado a reunir inteligência por qualquer meio necessário, o que nos leva a acreditar que os ataques cibernéticos direcionados a militares e órgãos governamentais continuarão prevalecendo.
“Phishing e infecções por malware são as principais ferramentas de ciberespionagem, sendo o comportamento humano o elo mais fraco. Portanto, o principal meio de segurança cibernética deve se concentrar em aumentar continuamente a conscientização dos cidadãos sobre práticas fundamentais de higiene cibernética e ameaças cibernéticas atuais.” ®
.
