As ofensivas da Rússia contra a Ucrânia tomaram o meio digital antes mesmo de as tropas de Vladimir Putin avançarem sobre o território do país vizinho. Os ciberataques vistos até agora, no entanto, não trazem toda a sofisticação vista nos hackers russos durante os últimos anos.
Com o início da onda de ciberataques aos ucranianos, em janeiro, o temor de especialistas no setor e de autoridades era de disrupção a serviços essenciais e de impacto a outros países, propositais ou não.
A Rússia é tida como um dos países com maior poder para ataques virtuais, ao lado de EUA e China. O estado de alerta é baseado principalmente em campanhas que aconteceram no passado.
Comumente citados são a ofensiva do grupo hacker Sandworm, que em 2015 deixou milhares de pessoas sem luz e, em 2017, lançou o vírus NotPetya, que saiu de controle e causou prejuízos a vários países, estimados nos bilhões de dólares pela Casa Branca.
No mundo da cibersegurança, esses grupos hackers sofisticados como o Sandworm são chamados de APT (sigla em inglês para ameaças avançadas persistentes). O governo russo já foi acusado de acobertar, e até recrutar, grupos do tipo que atuam no país.
Até agora, nesta série de investidas, os ataques vistos lembram alguns desses do passado, mas passam longe do mesmo nível de destruição. O sinal amarelo, no entanto, deve permanecer piscando até porque, nos últimos dias, ameaças de maior complexidade foram encontradas.
"Nunca vimos algo assim na história dos ciberataques, mas, ao mesmo tempo, uma atividade mais sofisticada ainda está por vir", diz Costin Raiu, diretor de pesquisa da empresa russa de cibersegurança Kaspersky. Ele participou de seminário online nesta quinta-feira (10) para analisar as ameaças encontradas no espaço virtual ucraniano.
Nos EUA e na Europa, há preocupação das reações de Putin após as sanções comerciais à Rússia e expectativa por novas ondas de ataques, possivelmente mirando o ocidente.
O governo americano continua atualizando o "Shields Up" ("Escudos levantados"), comunicado pedindo atenção de empresas contra ciberataques e orientando as defesas.
"Estamos falando com certo alarme há semanas, talvez meses, sobre a ameaça russa e a fadiga é real. A sensação de normalização às atividades [hackers] é real", disse Chris Krebs, ex-diretor da Agência de Cibersegurança e Segurança de Infraestrutura americana, ao jornal Washington Post. O receio aí é que a guarda baixe devido à demora de um ataque.
Várias frentes
Segundo Costin Raiu, da Kaspersky, a mistura de diferentes componentes torna o cenário da ciberguerra entre Ucrânia e Rússia único.
Além das ofensivas de grupos conhecidos, há ameaças vindas de APTs desconhecidas, bem como atuação de grupos de hacktivismo (ativismo digital hacker) e de cibercriminosos se aproveitando da situação.
"E, no centro disso tudo, há ainda uma intensa guerra de informações, inclusive com vazamentos de dados, alguns verdadeiros e outros falsos", nota Raiu.
Do menos para o mais complexo, a maior parte dos ataques vistos até agora se encaixam em três categorias: pixação virtual, negação de serviço e mecanismos de destruição de dados.
Como etapa desses ataques, há as tentativas de phishing: envio de mensagens falsas (como emails) para tentar roubar informações de usuários ou infectar máquinas.
A pixação virtual (conhecida no meio técnico como "defacing") estava entre os primeiros ataques vistos nesta onda, contra sites do governo ucraniano. Nessa modalidade, hackers se aproveitam de falhas em sites para alterar sua aparência e, por exemplo, exibir mensagens políticas em vez do conteúdo esperado. Não há necessariamente uma invasão ou roubo de informações.
Os ataques de negação de serviço (ou "DDoS") tentam sobrecarregar sistemas para deixá-los lentos ou inoperantes. Nesses casos, várias máquinas ligadas à internet se conectam a um serviço ao mesmo tempo para que ele não dê conta da demanda.
Segundo o serviço de comunicações e proteção de informações do governo ucraniano, o país vem rebatendo ataques DDoS de fontes russas "sem parar".
Por último, uma série de vírus diferentes do tipo wiper, que tem como foco apagar dados, foram encontrados em computadores ucranianos. Uma medida que se tornou comum entre esses vírus foi tentar se disfarçar de ransomware.
Os ransomwares são os vírus da moda entre cibercriminosos. Eles bloqueiam acessos a dados e a sistemas e cobram um resgate para liberá-los. Ao se disfarçar dessa forma, os wipers tentam fazer parecer que a investida vem de um grupo tentando ganhar dinheiro, e não de um outro Estado visando destruir serviços.
Até agora, pelo menos três wipers foram encontrados em operação na Ucrânia. Todos eles tiveram datas de compilação (quando um programa de computador fica pronto para ser executado) ainda no ano passado —ou seja, estavam prontos com antecedência.
Eles lembram a atuação de outros vírus usados pela Rússia no passado, entre eles o NotPetya, mas com menor alcance e nível técnico.
Segundo Ivan Kwiatkowski, pesquisador sênior da Kaspersky, um desses wipers, no entanto, se destaca. Batizado de HermeticWiper, ele se disfarça de um programa legítimo para evitar detecção no computador.
Ele "quebra" os dados salvos em várias partes antes de apagá-los, processo conhecido como fragmentação. Com isso, recuperar os arquivos fica ainda mais difícil. "É uma técnica que eu nunca tinha visto", diz Kwiatkowski.
O HermeticWiper foi detectado em organizações ucranianas pouco antes da invasão russa, no dia 24 de fevereiro. Segundo a empresa de cibersegurança Symantec, os alvos incluem organizações dos setores financeiro, de defesa, aviação e serviços de TI. A empresa diz que o vírus foi também encontrado em máquinas da Lituânia.
Na mesma data, um ciberataque mirando a rede de satélites da empresa de telecomunicações Viasat deixou parte de seus clientes sem internet. O impacto foi sentido também na Alemanha, onde turbinas de vento perderam conexão, segundo a agência de notícias Reuters. Autoridades americanas, francesas e ucranianas investigam se a interrupção foi causada por hackers russos. .
Na última semana, foram registradas falhas em pelo menos outras duas provedoras de internet ucranianas, de acordo com o site The Record.
'Fim do mundo' escrito errado
Segundo análise da Kaspersky, a APT mais ativa em atividade no ciberespaço ucraniano nas últimas semanas é o grupo conhecido como Gamaredon ou Armagedon, ligado à Rússia.
Trata-se de um grupo que usa de ataques muito menos poderosos tecnicamente do que aqueles partindo do Sandworm, ligado a militares russos, e que pouco apareceu nas últimas semanas.
O Gamaredon está em atividade pelo menos desde 2013, aponta relatório da Trend Micro, empresa especializada em segurança da informação, já mirando a Ucrânia. "São dez anos de atividade usando pouca [sofisticação na] tecnologia, mas eficientes", avalia Kurt Baumgartner, pesquisador da Kaspersky.
Relatório da Palo Alto Networks, também do setor de cibersegurança, mapeou a infraestrutura do Gamaredon, que usa de phishing (mensagens falsas) para tentar instalar vírus a fim de ganhar controle de máquinas ligadas ao governo ucraniano.
O nome da APT vem de documentos do grupo que foram analisados por especialistas. Os arquivos de Word indicavam ter sido editados pela última vez por um usuário chamado "Armagedon" (ou "fim do mundo"), mas com o erro de digitação (um D só, em inglês a grafia é com dois).
É comum que as APTs tenham vários nomes, por isso ler sobre o assunto pode ficar um pouco confuso. Isso pode acontecer por vários motivos, como o próprio grupo optar por mudar como se chama ou empresas de cibersegurança adotarem termos diferentes. "Primitive Bear" e "Actinium" são algumas entre várias outras formas de se referir ao Gamaredon. O Sandworm também atende por "Hades", "Telebots", "Voodoo Bear", "Unit 74455" e outros.
Só queremos dinheiro
O Gamaredon se junta a uma série de outras APTs e grupos hacktivistas que pegaram em armas virtuais na guerra entre Rússia e Ucrânia. E o apoio aparece para os dois lados.
Pelos ucranianos, grupos de ativismo hacker famosos, como o Anonymous, passaram a atacar entidades russas. Investidas desses grupos abrangeram ataques DDoS e invasão de organizações para vazar dados ou interromper operações. Além disso, ataques de defacing levaram mensagens de apoio à Ucrânia a telas russas.
Da mesma forma, o grupo cibercriminoso Conti (especializado em lançar ataques de ransomware) foi um dos que disse apoiar a invasão russa. A declaração levou a um racha na gangue, e alguns de seus membros chegaram a vazar documentos internos expondo o funcionamento da equipe.
No submundo virtual, a confusão é tamanha que teve até grupo cibercriminoso declarando neutralidade na guerra. O Lockbit, grupo concorrente do Conti nos ransomwares, emitiu comunicado dizendo ser apolítico por ter membros de diversas nacionalidades. "Para nós, tudo gira em torno do dinheiro", declararam.
O cenário de chumbo trocado cria risco adicional, avaliam especialistas. Ataques partindo desses grupos podem transbordar para terceiros, como empresas. Além disso, atividades de hacktivismo podem também impactar atividades de inteligência ao chamar a atenção para um sistema vulnerável que estava sendo explorado sorrateiramente por hackers do governo.
"O hacktivismo, por natureza, é sempre muito barulhento. E a inteligência é bem quieta. Um grupo hacktivista pode, sem querer, levar a uma análise minusciosa de um sistema que estava sendo observado discretamente por uma operação de inteligência", diz Jake Williams, ex-hacker da NSA (agência de segurança nacional dos EUA), à revista Wired.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.