.
A equipe russa do Sandworm parece ter sido responsável pela interrupção dos serviços móveis e de Internet para cerca de 24 milhões de usuários na Ucrânia no mês passado, com um ataque à gigante das telecomunicações Kyivstar.
Os criminosos estiveram à espreita nos sistemas da empresa de telecomunicações durante pelo menos seis meses antes do ataque e depois apagaram “quase tudo”, segundo Illia Vitiuk, chefe do departamento de segurança cibernética do Serviço de Segurança da Ucrânia (SBU). Numa entrevista publicada na quinta-feira, o chefe da espionagem relatou que a intrusão “desastrosa”, que apagou milhares de servidores virtuais e PCs da operadora, começou muito antes de os serviços da Kyivstar serem desativados em 12 de dezembro.
O ataque também teria interrompido os sistemas de alerta de ataques aéreos em partes de Kiev e alguns serviços bancários. Na mesma semana, dois ataques separados com mísseis atingiram a capital ucraniana, ferindo pelo menos 53 pessoas e danificando casas e um hospital infantil.
Os hackers da Kyivstar invadiram a rede em maio de 2023, se não antes, de acordo com Vitiuk, e obtiveram acesso total em novembro. Isso teria dado aos invasores acesso a informações de clientes, dados de localização de telefone, mensagens SMS e, potencialmente, credenciais de conta do Telegram.
Vitiuk disse ter “quase certeza” de que Sandworm foi o responsável pela invasão. Esta é a tripulação que realiza campanhas de espionagem, hack-and-leak, limpeza de dados e influência – juntamente com uma série de outras atividades ilícitas – em nome da unidade de inteligência militar russa GRU.
“Este ataque é uma grande mensagem, um grande aviso, não só para a Ucrânia, mas para todo o mundo ocidental compreender que ninguém é realmente intocável”, alertou Vitiuk.
O CEO da Kyivstar, Oleksandr Komarov, declarou que os serviços do provedor foram totalmente restaurados em 20 de dezembro. Strong The Oneinquéritos, mas um porta-voz da Kyivstar disse que estava trabalhando com a SBU para investigar o ataque e acrescentou que “nenhum fato de vazamento de dados pessoais e de assinantes foi revelado”.
Analistas de ameaças do setor privado disseram Strong The One que o ataque é significativo porque não foi usado apenas para fins de espionagem, mas também para guerra híbrida.
“A rede foi usada para conduzir saltos de ilhas nas redes militares da Ucrânia. Estou muito preocupado que a contra-ofensiva da Ucrânia tenha sido monitorada em tempo real e a localização das tropas tenha sido exposta para facilitar ataques de drones”, explicou Tom Kellermann, vice-presidente sênior de estratégia cibernética em software de segurança de aplicativos. fornecedor Contraste Segurança.
“Pessoalmente, estou chocado que a NATO tenha sido cega a esta situação e não a tenha mitigado”, acrescentou. “Nunca devemos subestimar as milícias cibernéticas da Rússia.”
Esta vigilância militar, combinada com os efeitos psicológicos do corte dos serviços telefónicos e de Internet dos ucranianos durante dias, mostra que a Rússia continuará a usar ataques cibernéticos ofensivos para aumentar a guerra cinética, de acordo com Adam Meyers, chefe de Operações Contra Adversárias da CrowdStrike.
“Interromper os telefones e a infra-estrutura prejudica as pessoas, pois as pessoas permanecem resilientes contra os russos”, disse Meyers. Strong The One. “Quando não conseguem operar bancos, não conseguem operar os seus telefones, estão a perder acesso aos dados, e isso é combinado com campanhas de desinformação – tudo se soma. É um multiplicador de força.”
A CrowdStrike, acrescentou, também acredita que a Sandworm e sua afiliada Solntsepek são responsáveis pelo ataque.
Solntsepek afirmou anteriormente estar por trás do ataque Kyivstar, e CrowdStrike rastreia Sandworm como VooDoo Bear.
“Nossa avaliação carrega uma confiança moderada neste momento, com base no provável uso de Solntsepek pelo adversário como uma frente hacktivista, nas operações destrutivas de 2023 na Ucrânia atribuídas ao VooDoo Bear e em vários padrões associados às alegações de ataque de Solntsepek”, observou Meyers.
Isto inclui pelo menos oito ataques contra organizações públicas e privadas na Ucrânia entre abril e agosto de 2023, segundo Meyers. “Cada um deles tinha padrões semelhantes de atividades destrutivas, violações, atividades de hack-and-leak e ataques distribuídos de negação de serviço e desfigurações, incluindo artigos de notícias falsas”.
Entre julho e setembro de 2023, a gangue adicionou malware de limpeza de dados às suas reivindicações e se gabou de ter atingido mais 11 alvos, acrescentou Meyers.
“A grande conclusão é que o ciberespaço é uma ferramenta inegável e assimétrica, que permite aos países aumentar e maximizar o impacto dos ataques cinéticos”, observou.
Os países ocidentais deveriam seguir o conselho da Ucrânia e tratar o hack do Kyivstar como um aviso, disse John Hultquist, analista-chefe do grupo Mandiant Intelligence do Google.
“Um ataque sério e bem-sucedido às telecomunicações como este deveria ser especialmente desconcertante para os americanos, já que os operadores chineses têm visado recentemente o setor neste país para fins semelhantes”, disse ele. Strong The One. “Este incidente é um lembrete de que uma grande interrupção nas comunicações não é um cenário improvável.
A Mandiant também culpou o Sandworm pelos apagões na Ucrânia em outubro de 2022, que anteriormente se acreditava terem sido causados por ataques de mísseis. Alguns dos apagões foram causados por greves na rede elétrica da Ucrânia. No entanto, um ataque cibernético aparentemente coordenado a uma das centrais eléctricas do país também desempenhou um papel, de acordo com os caçadores de ameaças.
“O Sandworm apagou as luzes várias vezes na Ucrânia, mas o seu alcance é global”, alertou Hultquist. “Eles visaram eleições nos EUA e em França, atacaram as cerimónias de abertura dos Jogos Olímpicos e foram responsáveis pelos ataques globais NotPetya – o ataque cibernético mais caro da história.” ®
.
