Antes do ataque russo à Ucrânia, havia várias ameaças cibernéticas: ataques Distributed Denial of Service (DDoS) que esporadicamente interromperam sites do governo ucraniano e provedores de serviços financeiros. O que podemos aprender com a história para estarmos preparados? Uma linha do tempo de 2007 a 2022. Um comentário de Chester Wisniewski, principal pesquisador da Sophos.
“Todas as empresas devem estar sempre preparadas para ataques de todas as direções. Mas pode ser útil saber o que procurar quando o risco de um ataque aumenta. Decidi revisar a história das atividades conhecidas ou suspeitas do estado russo no ambiente cibernético e avaliar quais tipos de atividades esperar e como as organizações podem ser preparadas." Chester Wisniewski, Sophos.
Ataques de negação de serviço desestabilizadores
A atividade mais antiga conhecida remonta a 26 de abril de 2007, quando o governo da Estônia transferiu uma estátua comemorativa da libertação da Estônia pela União Soviética dos nazistas para um local menos proeminente. Essa ação enfureceu a população de língua russa da Estônia e desestabilizou as relações com Moscou. Pouco tempo depois, houve tumultos nas ruas, protestos em frente à embaixada da Estônia em Moscou e uma onda de ataques DDoS ao governo da Estônia e a sites de serviços financeiros.
Ferramentas totalmente preparadas e instruções sobre como participar de ataques DDoS apareceram em fóruns russos quase imediatamente após a estátua ser colocada. Esses ataques visaram sites pertencentes ao Presidente, Parlamento, polícia, partidos políticos e os principais meios de comunicação.
Enquanto outros "patriotas russos" foram convocados para ajudar a punir a Estônia, este dificilmente foi um movimento popular* que surgiu do nada com ferramentas e uma lista de alvos. A mesma tática foi usada posteriormente pelo Anonymous para defender o Wikileaks usando uma ferramenta chamada Low Orbit Ion Canon (LOIC).
Ações desde 2007
Em 4 de maio de 2007, os ataques se intensificaram e atingiram também os bancos. Exatamente sete dias depois, à meia-noite, os ataques terminaram tão abruptamente quanto começaram. Todos imediatamente culparam a Rússia, mas atribuí-la a ataques distribuídos de negação de serviço é quase impossível. Agora, acredita-se amplamente que esses ataques DDoS foram obra da Russian Business Network (RBN), um notório grupo do crime organizado na Rússia, ligado a spam, botnets e programas farmacêuticos afiliados. Seus serviços foram aparentemente "contratados" por exatamente uma semana para realizar esses ataques.
Em 19 de julho de 2008, uma nova onda de ataques DDoS começou, visando sites de notícias e do governo na Geórgia. Esses ataques misteriosamente se intensificaram dramaticamente em 8 de agosto de 2008, quando as tropas russas invadiram a província separatista da Ossétia do Sul. Os ataques foram inicialmente dirigidos contra sites de notícias e do governo da Geórgia, mais tarde também contra instituições financeiras, empresas, instituições educacionais, mídia ocidental e um site de hackers georgiano.
Como em ataques anteriores na Estônia, apareceu um site com uma lista de alvos e um conjunto de ferramentas com instruções de como usá-los. Também aqui foram feitas tentativas de atribuir os ataques aos “patriotas” que resistiram à agressão georgiana. No entanto, a maior parte do tráfego de ataque real veio de uma grande rede de bots conhecida, que se acreditava ser controlada pela RBN.
Desfiguração digital e spam
Os ataques à Geórgia também incluíram desfiguração de sites e campanhas maciças de spam projetadas para entupir as caixas de entrada da Geórgia. Tudo isso aparentemente serviu para abalar a confiança na capacidade da Geórgia de se defender e se governar, e para impedir que o governo se comunicasse efetivamente com seus cidadãos e com o mundo exterior.
Menos de um ano depois, em janeiro de 2009, outra série de ataques DDoS começou no Quirguistão. Isso aconteceu ao mesmo tempo em que o governo do Quirguistão decidiu estender o arrendamento de uma base aérea americana em seu país. Um acidente? Parecia que a ação estava sendo tomada pela RBN novamente, mas desta vez não era uma manobra de "patriotas" expressando suas opiniões digitais.
Isso nos leva ao conflito cinético mais recente, a invasão da Crimeia em 2014.
desinformação e isolamento
Uma guerra de informações de baixo nível foi travada contra a Ucrânia desde 2009, com muitos ataques coincidindo com eventos que poderiam ser interpretados como uma ameaça aos interesses russos, como uma cúpula da OTAN e negociações Ucrânia-UE sobre um acordo de associação.
Em março de 2014, o The New York Times informou que o malware Snake se infiltrou no escritório do primeiro-ministro da Ucrânia e em várias embaixadas remotas quando os protestos antigovernamentais começaram na Ucrânia. No final de 2013 e início de 2014, a ESET também divulgou investigações documentando ataques a alvos militares e mídia, apelidada de Operação Potao Express.
Como antes, um grupo cibernético indígena chamado "Cyber Berkut" realizou ataques DDoS e desfigurações na web, mas sem causar grandes danos. No entanto, criou muita confusão, e só isso tem implicações em tempos de conflito.
No início do conflito, soldados sem insígnia assumiram o controle das redes de telecomunicações da Crimeia e do único hub de internet da região, causando o congelamento das informações. Os atacantes usaram indevidamente seu acesso à rede celular para identificar manifestantes anti-russos e enviar-lhes mensagens de texto que diziam: "Caro assinante, você está registrado como participante de um motim em massa".
Depois de isolar a capacidade de comunicação da Crimeia, os atacantes também falsificaram os telefones celulares de membros do parlamento ucraniano, impedindo-os de responder efetivamente à invasão. Conforme observado em Military Cyber Affairs, as campanhas de desinformação estavam em pleno andamento:
“Em um caso, a Rússia pagou a uma única pessoa para ter várias identidades diferentes na web. Um ator em São Petersburgo afirmou que atuou como três blogueiros diferentes com dez blogs e comentou em outros sites ao mesmo tempo. Outra pessoa foi contratada para comentar notícias e mídias sociais 126 vezes a cada XNUMX horas."
Fonte de alimentação incapacitante
Em 23 de dezembro de 2015, cerca de metade dos residentes de Ivano-Frankivsk (Ucrânia) tiveram sua eletricidade cortada repentinamente. Acredita-se amplamente que este foi o trabalho de hackers patrocinados pelo Estado russo. Os primeiros ataques começaram mais de seis meses antes do apagão, quando funcionários de três centros de distribuição de energia abriram um documento infectado do Microsoft Office contendo uma macro projetada para instalar um malware chamado BlackEnergy.
Os invasores conseguiram acessar remotamente os dados da rede SCADA (Supervisory Control and Data Acquisition) e assumir o controle dos controles da subestação para abrir os disjuntores. Eles então comprometeram os controles remotos para evitar que os interruptores fechassem para restaurar a energia. Além disso, os invasores usaram um "wiper" para destruir os computadores usados para controlar a rede, ao mesmo tempo em que realizavam um ataque de negação de serviço por telefone (TDoS), inundando os números de atendimento ao cliente e, assim, os clientes que tentaram relatar as interrupções foram frustrado.
Quase um ano depois, em 17 de dezembro de 2016, as luzes se apagaram novamente em Kiev. Um acidente? Provavelmente não.
Desta vez, o malware responsável foi chamado Industroyer/CrashOverride e era muito mais sofisticado. O malware foi equipado com componentes modulares que podem escanear a rede para encontrar controladores SCADA e falar seu idioma. Ele também tinha um componente de limpeza para apagar o sistema. O ataque parecia não estar relacionado ao BlackEnergy ou à conhecida ferramenta de limpeza KillDisk, mas não havia dúvida de quem estava por trás dele.
Divulgação por e-mail
Em junho de 2016, durante a acirrada campanha presidencial entre Hillary Clinton e Donald Trump, surgiu uma nova figura chamada Guccifer 2.0, que alegou ter hackeado o Comitê Nacional Democrata e encaminhado seus e-mails para o Wikileaks. Embora não seja oficialmente atribuído à Rússia, ele apareceu ao lado de outras campanhas de desinformação durante as eleições de 2016 e acredita-se que seja a mão do Kremlin.
Ataques à Cadeia de Suprimentos: NotPetya
Os persistentes ataques da Rússia à Ucrânia ainda não haviam terminado e, em 27 de junho de 2017, eles exacerbaram a situação ao lançar um novo malware chamado NotPetya. Disfarçado de novo ransomware, o NotPetya foi distribuído por meio de uma cadeia de suprimentos hackeada de um fornecedor de software de contabilidade ucraniano. Na verdade, não era ransomware. Ele criptografou um computador, mas não pôde ser descriptografado, limpando efetivamente o dispositivo e tornando-o inutilizável.
As vítimas não se limitaram a empresas ucranianas. O malware se espalhou pelo mundo em questão de horas, afetando principalmente organizações que operam na Ucrânia, onde o software de contabilidade armadilhado foi implantado. Estima-se que o NotPetya tenha causado pelo menos US$ 10 bilhões em danos em todo o mundo.
Sob uma bandeira falsa
Quando as Olimpíadas de Inverno de PyeongChang começaram em 9 de fevereiro de 2018, outro ataque era iminente, deixando o mundo em suspense. O ataque de malware desativou todos os controladores de domínio na rede olímpica, impedindo que tudo, desde Wi-Fi até bilheterias, funcionasse corretamente. Milagrosamente, a equipe de TI conseguiu isolar a rede, restaurar e remover o malware dos sistemas e, na manhã seguinte, tudo estava funcionando novamente sem nenhum erro.
Chegou a hora de executar uma análise de malware para descobrir quem estava tentando atacar e desligar toda a rede do Olympia. A atribuição de malware é difícil, mas havia algumas pistas que poderiam ser úteis ou pistas falsas que deveriam apontar para um terceiro não envolvido. A "evidência" parecia apontar para a Coreia do Norte e a China, mas era quase óbvio demais para culpar a Coreia do Norte. No final, Igor Soumenkov, da Kaspersky Lab, com um brilhante trabalho de detetive, encontrou uma pista quente que apontava diretamente para Moscou.
Alguns anos depois, pouco antes do final das férias de 2020, foi conhecido um ataque à cadeia de suprimentos visando o software SolarWinds Orion usado para gerenciar a infraestrutura de rede de grandes e médias empresas em todo o mundo, incluindo muitas agências federais dos EUA. Os mecanismos de atualização do software foram sequestrados e usados para instalar um backdoor.
A proeminência das vítimas combinada com o acesso fornecido pelo backdoor instalado furtivamente torna esse ataque possivelmente um dos maiores e mais prejudiciais ataques de espionagem cibernética da história moderna.
O Federal Bureau of Investigation (FBI) dos EUA, a Cybersecurity and Infrastructure Security Agency (CISA), o Office of Director of National Intelligence (ODNI) e a National Security Agency (NSA) emitiram uma declaração conjunta afirmando que suas investigações indicam que... :
“… um ator de ameaça persistente avançado, provavelmente de origem russa, é responsável pela maioria ou por todos os ataques cibernéticos em andamento recentemente descobertos em redes governamentais e não governamentais. Neste momento, acreditamos que esta é uma ação de inteligência e continuará a ser."
Conflito cibernético russo em 2022
Em 2022, as tensões ciberpolíticas estão aumentando novamente e estão prestes a ser testadas criticamente. De 13 a 14 de janeiro de 2022, vários sites do governo ucraniano foram desfigurados e os sistemas infectados com malware disfarçado de ransomware.
Vários componentes desses ataques são reminiscentes do passado. O malware não era ransomware, mas apenas um limpador sofisticado, como usado nos ataques NotPetya. Além disso, muitas pistas falsas foram deixadas, sugerindo que poderia ser obra de dissidentes ucranianos ou guerrilheiros poloneses. Distrair, confundir, negar e tentar dividir parece ser o repertório padrão agora.
Na terça-feira, 15 de fevereiro de 2022, uma série de ataques DDoS foi lançada contra o governo ucraniano e sites militares, bem como três dos maiores bancos da Ucrânia. Em uma ação inédita, a Casa Branca já desclassificou algumas informações de inteligência, atribuindo os ataques ao GRU russo.
O Manual Russo de Guerra Cibernética
E agora? Independentemente de a situação piorar ainda mais, as operações cibernéticas certamente continuarão. Desde a expulsão de Viktor Yanukovych em 2014, a Ucrânia tem enfrentado uma enxurrada constante de ataques que tiveram altos e baixos em graus variados.
De acordo com a "Doutrina Militar da Federação Russa" oficial da Rússia de 2010: “a condução prévia de operações de guerra de informação para atingir objetivos políticos sem o uso de força militar e, subsequentemente, no interesse de uma resposta positiva da comunidade mundial ao uso de força militar.”
Isso sugere uma continuação de comportamentos pré-conflito anteriores e torna os ataques DDoS um sinal potencial de uma resposta cinética iminente. Com a guerra de informação, o Kremlin pode tentar direcionar a reação do resto do mundo para ações na Ucrânia ou outros alvos.
Erros de rastreamento, atribuição incorreta, comunicações interrompidas e manipulação de mídia social são todos componentes importantes do conceito de guerra de informação da Rússia. Eles não precisam fornecer camuflagem permanente para atividades no solo ou em outro lugar, mas simplesmente fornecer atraso, confusão e contradição suficientes para permitir que outras operações simultâneas atinjam seus objetivos.
Preparar e proteger
Curiosamente, os Estados Unidos e o Reino Unido tentam evitar algumas das campanhas de desinformação, o que pode limitar sua eficácia. No entanto, não devemos supor que os atacantes vão parar de tentar, por isso devemos permanecer preparados e vigilantes.
Por exemplo, as organizações nos países vizinhos da Ucrânia devem estar preparadas para serem atraídas para golpes online, mesmo que não operem diretamente na Ucrânia. Ataques anteriores e desinformação vazaram para a Estônia, Polônia e outros estados vizinhos, embora apenas como danos colaterais. De uma perspectiva global, devemos esperar que vários freelancers “patrióticos” na Rússia, ou seja, criminosos de ransomware, autores de phish e operadores de botnet, ajam com ainda mais zelo do que o normal contra alvos considerados antipátria.
É improvável que a Rússia ataque os membros da OTAN diretamente e arrisque a promulgação do Artigo V. No entanto, os recentes gestos da Rússia para conter criminosos que operam fora da Federação Russa e seus parceiros na Comunidade de Estados Independentes (CEI) provavelmente chegarão ao fim e, em vez disso, as ameaças se multiplicarão.
Embora a defesa em profundidade deva ser a coisa mais normal do mundo, ela é especialmente importante quando enfrentamos um aumento na frequência e na gravidade dos ataques. A desinformação e a propaganda atingirão o pico em breve, mas devemos estar atentos, fechando as escotilhas e monitorando nossas redes para qualquer coisa incomum à medida que os ciclos de conflito diminuem - mesmo que terminem em breve. Porque, como todos sabemos, pode levar meses até que surjam evidências de uma invasão digital relacionada ao conflito russo-ucraniano.
Chester Wisniewski, principal cientista de pesquisa da Sophos (Imagem: Sophos).
Sobre o autor Chester Wisniewski
Chester Wisniewski é Cientista de Pesquisa Principal da Sophos, fornecedora líder de soluções de segurança de última geração. Possui mais de 20 anos de experiência profissional.
Chester analisa as grandes quantidades de dados de ataque coletados pela SophosLabs para destilar e compartilhar informações relevantes para dar ao setor uma melhor compreensão das ameaças em evolução, comportamento do invasor e medidas de segurança eficazes. Ele ajudou empresas a desenvolver estratégias de defesa em escala empresarial, atuou como líder técnico no desenvolvimento do primeiro dispositivo de segurança de e-mail da Sophos e aconselhou sobre planejamento de segurança para algumas das maiores marcas globais.
Chester mora em Vancouver e é palestrante regular em eventos do setor, incluindo RSA Conference, Virus Bulletin, Security BSides (Vancouver, Londres, País de Gales, Perth, Austin, Detroit, Los Angeles, Boston e Calgary) e outros. Reconhecido como um dos principais pesquisadores de segurança do setor, ele é regularmente consultado pela imprensa, incluindo BBC News, ABC, NBC, Bloomberg, CNBC, CBC e NPR.
Quando não está lutando contra o cibercrime, Chester passa seu tempo livre cozinhando, andando de bicicleta e orientando os recém-chegados à segurança por meio de seu trabalho voluntário na InfoSec BC. Chester está no Twitter (@chetwisniewski).
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.