Uma retrospectiva de seis meses da guerra na Ucrânia: que estratégia os ataques cibernéticos russos seguiram e quão eficazes eles foram até agora? A guerra cibernética foi realizada de acordo com 4 estratégias: destruição, desinformação, hacktivismo e e-espionagem. Um comentário de Chester Wisniewski, principal pesquisador da Sophos.
Quando a Rússia invadiu a Ucrânia em 24 de fevereiro de 2022, apesar de muitas tentativas de avaliação, nenhum de nós sabia que papel os ataques cibernéticos poderiam desempenhar em uma invasão em grande escala. A Rússia vinha realizando ataques cibernéticos na Ucrânia desde a ocupação da Crimeia em 2014, e parecia inevitável que essas ferramentas continuassem a desempenhar um papel, especialmente após os ataques à rede elétrica ucraniana e a disseminação mundial do worm NotPetya.
Um dos desafios na avaliação da eficácia ou impacto dos ataques cibernéticos é ver como eles se encaixam no "quadro geral". Quando estamos no meio de um conflito, a "névoa de informação" da guerra muitas vezes obscurece e distorce nossa visão da eficácia de uma determinada ação. Agora, com mais de seis meses de guerra, vamos olhar para trás e tentar determinar o papel das armas cibernéticas até aquele momento.
Mais de 1.100 ataques cibernéticos na Ucrânia
De acordo com o Serviço Estatal Ucraniano para Comunicações Especiais e Proteção de Informações (SSSCIP), o Ucrânia atacou 1.123 vezes desde o início da guerra. 36,9% dos alvos eram governo/defesa e os ataques consistiam em 23,7% de código malicioso e 27,2% de coleta de informações.
O componente cibernético da guerra começou quase 24 horas antes da invasão terrestre. Em meu diário do conflito, observei que os ataques DDoS e os ataques de limpeza começaram por volta das 23h, horário local, em 16 de fevereiro. Imediatamente depois ficou muito confuso, pois um grande número de ataques e técnicas foram usados em paralelo. Para analisar melhor a intensidade, eficácia e alvos, dividi esses ataques em quatro categorias: destruição, desinformação, hacktivismo e espionagem.
Estratégia 1: Destruição
Como a guerra não estava progredindo de acordo com o planejado para a Rússia, algumas dessas técnicas foram usadas de maneira diferente em diferentes estágios da guerra. A primeira e mais óbvia foi a fase do malware destrutivo. A partir de janeiro de 2022, de acordo com o SSSCIP, invasores russos e pró-russos começaram a lançar malware de limpeza e alteração do setor de inicialização com o objetivo de limpar o conteúdo de um sistema ou torná-lo inoperável. Eles visaram principalmente provedores de serviços ucranianos, infraestrutura crítica e agências governamentais.
Esses ataques continuaram nas primeiras seis semanas do conflito e depois enfraqueceram. A maior parte dessa atividade concentrou-se entre os dias 22 e 24 de fevereiro - ou seja, no período imediatamente anterior e durante a invasão. Essas atividades tiveram um impacto em vários sistemas na Ucrânia, mas, em última análise, não parecem ter tido um impacto positivo no sucesso da invasão russa de terras.
Um dos motivos pode ser que, poucos dias antes desses ataques, o governo ucraniano transferiu muitas de suas funções on-line oficiais para uma infraestrutura de nuvem gerenciada e controlada por terceiros não envolvidos nos combates. Isso evitou interferências e permitiu que a Ucrânia mantivesse muitos serviços e se comunicasse com o mundo. Isso é uma reminiscência de um movimento semelhante quando a Geórgia transferiu os principais sites do governo para terceiros países durante os ataques DDoS da Rússia ao país em 2008.
O ataque da Viasat foi muito eficaz e também afetou turbinas eólicas alemãs
Outro ataque devastador foi o ataque aos modems de comunicação por satélite Viasat implantados na Europa Central e Oriental no momento em que a invasão estava começando. De acordo com Raphael Satter, da Reuters, um alto funcionário ucraniano de segurança cibernética explicou que isso resultou em "uma perda realmente enorme de comunicações logo no início da guerra". Este ataque também infligiu danos colaterais aos membros da OTAN e interrompeu, entre outras coisas, a operação de mais de 5.800 turbinas eólicas na Alemanha.
Este é provavelmente o mais eficaz de todos os ataques feitos até agora durante a guerra. Dado que a maioria dos especialistas especulou que a Rússia estava planejando uma guerra de 72 horas, caso essa estratégia funcionasse, uma interrupção nas comunicações militares poderia ter um impacto negativo significativo na Ucrânia. Além disso, os comandantes ucranianos conseguiram se reagrupar e estabelecer conexões alternativas para minimizar a interrupção. A longo prazo, a Rússia provou ter muito mais dificuldades com a cadeia de comando do que a Ucrânia. Talvez em parte devido ao apoio de empresas de tecnologia como Microsoft e ESET, bem como agências de inteligência dos EUA, o sucesso da Ucrânia em repelir ataques destrutivos tem sido impressionante.
Malware Industroyer2 atacou empresa de energia ucraniana
Uma das ameaças de malware mais sofisticadas direcionadas à infraestrutura crítica foi reconhecida e neutralizada quando foi detectada na rede de uma concessionária ucraniana. O malware conhecido como Industroyer2 era uma combinação de limpadores tradicionais direcionados ao Windows, Linux e Solaris, e malware específico do ICS direcionado à tecnologia operacional (OT) usada para controlar e monitorar a rede elétrica.
A Microsoft apontou em um relatório recente que muitos ciberataques russos parecem ter sido coordenados com ataques convencionais em Dnipro, Kiev e no aeroporto de Vinnytsia. Mas ainda não há evidências de que o componente cibernético tenha contribuído para aparentes avanços na ofensiva russa. Na minha opinião, as operações cibernéticas destrutivas até agora quase não tiveram impacto no resultado de eventos de guerra reais. Eles deram trabalho extra a muitas pessoas e ganharam muitas manchetes, mas o que não fizeram foi uma diferença real para a guerra.
Estratégia 2: desinformação
A estratégia de desinformação visava três grupos: o povo ucraniano, a própria Rússia e o resto do mundo. A Rússia não é estranha ao uso da desinformação como arma para alcançar resultados políticos. A missão original parece ter previsto uma vitória rápida e o uso de um governo fantoche. Com esse plano, a desinformação seria crítica primeiro em duas esferas de influência e depois em três esferas de influência à medida que progredisse.
O alvo mais óbvio é o povo ucraniano - eles deveriam (deveriam) ser convencidos de que a Rússia é uma libertadora e eventualmente aceitar um líder pró-Kremlin. Embora os russos pareçam ter tentado inúmeras formas de influência via SMS e mídia social tradicional, a Ucrânia cada vez mais patriótica tornou essa tentativa improvável de sucesso desde o início.
Desinformação dentro da Rússia
A Rússia teve muito mais sucesso com a desinformação em casa, seu segundo alvo mais importante. Ele proibiu amplamente a mídia estrangeira e independente, bloqueou o acesso à mídia social e criminalizou o uso da palavra "guerra" em conexão com a invasão da Ucrânia. É difícil avaliar o impacto dessas ações na população em geral, embora as pesquisas sugiram que a propaganda está funcionando - ou pelo menos a única opinião que pode ser expressa publicamente é o apoio a "operações militares especiais".
O terceiro alvo da desinformação à medida que a guerra avança é o resto do mundo. Tentar influenciar países não alinhados como Índia, Egito e Indonésia pode ajudar a desencorajá-los de votar contra a Rússia nas votações das Nações Unidas e potencialmente persuadi-los a apoiar a Rússia.
Propaganda para a mídia mundial
Histórias propagadas sobre laboratórios de armas biológicas dos EUA, desnazificação e suposto genocídio pelo exército ucraniano têm a intenção de desafiar o retrato da mídia ocidental sobre o conflito. Grande parte dessa atividade parece vir de pessoas pré-existentes gerando desinformação, em vez de contas comprometidas ou qualquer tipo de malware.
A desinformação claramente tem um impacto, mas assim como os ataques destrutivos, ela não afeta diretamente o resultado da guerra de forma alguma. Os civis não recebem as tropas russas como libertadores, e as forças ucranianas não depõem as armas ou se rendem. Os EUA e a Europa ainda apoiam a Ucrânia e o povo russo parece cauteloso, mas não rebelde. Mais notavelmente, nos últimos dias as forças ucranianas retomaram áreas sob controle russo e até foram recebidas como libertadores por alguns civis perto de Kharkiv.
Estratégia 3: Hacktivismo
🔎 Chester Wisniewski, principal cientista de pesquisa da Sophos (Imagem: Sophos).
Os hackers conhecidos e altamente experientes da Rússia e da Ucrânia usariam armas cibernéticas e desencadeariam ondas de ataques maliciosos, cada um apoiando seu próprio lado? Parecia que esse poderia ser o caso no início da guerra. Alguns grupos cibercriminosos bem conhecidos, como Conti e Lockbit, declararam imediatamente que estavam de um lado ou de outro, mas a maioria deles disse que não se importava e continuaria como de costume. Mas vimos uma queda significativa nos ataques de ransomware por cerca de seis semanas após a invasão inicial. O volume normal de ataques foi retomado no início de maio, sugerindo que os criminosos, como todos nós, estavam passando por interrupções na cadeia de suprimentos.
Um dos grupos mais notórios, Conti, fez declarações ameaçadoras contra o Ocidente em seu site de vazamento, o que levou um pesquisador ucraniano a revelar sua identidade e práticas, levando à sua dissolução.
A guerra interna em Conti causou sua dissolução
Por outro lado, os hacktivistas de ambos os lados entraram em ação nos primeiros dias da guerra. Desfigurações da Web, ataques DDoS e outros hacks triviais direcionados a praticamente qualquer coisa vulnerável e claramente identificável como russo ou ucraniano. No entanto, a FASE não durou muito e não parece ter nenhum efeito duradouro. A pesquisa mostra que esses grupos rapidamente ficaram entediados e passaram para a próxima distração. Aqui, também, as atividades não levaram a efeitos materiais na guerra - mas a brincadeiras, pelas quais os respectivos hacktivistas podem ter comemorado. Por exemplo, recentemente, um grupo supostamente invadiu o Yandex Taxi e ordenou que todos os táxis fossem para o centro de Moscou, causando um engarrafamento.
Categoria 4: Espionagem eletrônica
A última categoria é a mais difícil de quantificar, pois avaliar o impacto de algo inerentemente obscuro é intrinsecamente complicado. A maneira mais promissora de estimar quão extensa espionagem foi realizada nesta guerra é olhar para os momentos em que as tentativas foram descobertas. Você pode então começar a tentar extrapolar com que frequência as tentativas poderiam ter sido bem-sucedidas, considerando a frequência com que não foram.
Ao contrário dos ataques destrutivos, os ataques de e-espionagem são úteis contra todos os alvos inimigos, não apenas a Ucrânia, devido à sua natureza secreta e à dificuldade associada em identificá-los. Tal como acontece com a desinformação, há muito mais atividade nesta área visando os apoiadores da Ucrânia do que outros tipos de ataques que os aliados dos EUA e da OTAN poderiam injetar na guerra terrestre.
Mais ciberataques motivados pela guerra
Alegações de ataques contra empresas não ucranianas devem ser cuidadosamente consideradas. Não é novidade que a Rússia está atacando os Estados Unidos, a União Europeia e outros estados membros da OTAN com malware, ataques de phishing e roubo de dados, mas em alguns casos há evidências convincentes de que os ataques são especificamente motivados pela guerra na Ucrânia.
Em março de 2022, o Grupo de Análise de Ameaças (TAG) do Google publicou um relatório destacando os ataques de phishing russos e bielorrussos direcionados a ONGs e think tanks sediados nos EUA, militares de um país dos Bálcãs e um empreiteiro de defesa ucraniano. A Proofpoint também publicou uma pesquisa mostrando que funcionários da UE que trabalham em apoio a refugiados foram alvo de campanhas de phishing lançadas de uma conta de e-mail ucraniana supostamente comprometida anteriormente pela inteligência russa.
Os ataques russos a alvos ucranianos não diminuíram nos últimos seis meses, sempre aproveitando as últimas vulnerabilidades assim que são divulgadas publicamente. Por exemplo, em julho de 2022, um grupo de cibercrime com sede na Rússia estava entre os principais participantes, ou seja,Eles exploraram extensivamente uma nova vulnerabilidade no Microsoft Office chamada "Follina".. Parece que um dos alvos dos documentos maliciosos nesta campanha foram as organizações de mídia - uma ferramenta importante durante uma guerra.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.