Opinion
Com as tropas russas no território da Ucrânia e ataques de denial of service (DDoS) que esporadicamente perturbam os websites do governo ucraniano e os prestadores de serviços financeiros, a necessidade de se estar preparado para um “ciberconflito” está, mais do que nunca, em cima da mesa
Por Chester Wisniewski, Principal Research Scientist da Sophos . 04/03/2022
Embora todas as organizações devam estar sempre preparadas para um ataque vindo de qualquer direção, pode ser útil saber o que procurar quando o risco de ataque aumenta. Decidi analisar o histórico de atividades informáticas – conhecidas ou suspeitas – do Estado russo, para tentar avaliar o que podemos esperar e como as organizações se podem preparar. Ataques desestabilizadores de denial of serviceA primeira atividade conhecida data de abril de 2007, quando o governo estónio mudou uma estátua comemorativa da sua libertação dos nazis pela União Soviética para um local menos proeminente. Esta ação enfureceu a população russa da Estónia e desestabilizou as relações com Moscovo. Aconteceram motins nas ruas, protestos na embaixada estónia em Moscovo e uma onda de ataques DDoS a websites pertencentes ao Presidente, ao Parlamento, à polícia, a partidos políticos, aos principais meios de comunicação social e a serviços financeiros estónios. Ferramentas e instruções totalmente preparadas sobre como participar nestes ataques apareceram nos fóruns russos quase imediatamente após a trasladação da estátua. Enquanto se apelava aos "patriotas russos" para ajudar a punir a Estónia, era pouco provável que este tivesse sido um movimento popular que surgiu do nada, com ferramentas e uma lista de alvos prontos. Aliás, as mesmas táticas foram mais tarde implementadas pelos Anonymous em defesa da Wikileaks, utilizando uma ferramenta denominada de canhão de iões de órbita baixa (LOIC). A 4 de maio, os ataques intensificaram-se e começaram a direcionar-se aos bancos. Exatamente sete dias depois, no entanto, cessaram à meia-noite, de forma tão abrupta como tinham começado. Todos implicaram imediatamente a Rússia, mas atribuir ataques DDoS a alguém é, por defeito, quase impossível. Acredita-se agora que tenham sido obra da Russian Business Network (RBN), um notório grupo russo de crime organizado com ligações a spamming, botnets e esquemas de afiliação farmacêutica. Os seus serviços parecem ter sido "adquiridos" durante precisamente uma semana para conduzir estes ataques. Em julho de 2008, uma nova onda de ataques DDoS atingiu notícias e websites governamentais na Geórgia. Estes ataques intensificaram-se misteriosamente em agosto, quando as tropas russas invadiram a província separatista da Ossétia do Sul. Começaram, então, a incluir instituições financeiras, empresas, instituições de ensino, meios de comunicação ocidentais e um website de hackers georgianos. Tal como nos ataques à Estónia, surgiu um website com uma lista de alvos e um conjunto de ferramentas com instruções, que tentava atribuir os ataques a "patriotas" que se defendiam contra a agressão georgiana. No entanto, a maior parte do verdadeiro tráfego de ataque teve origem num botnet conhecido de grande dimensão que se crê ser controlado pela RBN. Os ataques à Geórgia incluíram também defacements de websites e campanhas massivas de spam para entupir as caixas de entrada de email. Tudo isto parece ter sido pensado para inspirar a falta de confiança na capacidade da Geórgia para se defender e governar a si própria, e para impedir o governo de comunicar de forma eficaz com os seus cidadãos e com o mundo exterior. Menos de um ano depois, em 2009, uma nova série de ataques DDoS começou no Quirguizistão, coincidindo com um processo de tomada de decisão que o seu governo estava a iniciar para decidir se renovava um contrato de arrendamento de uma base aérea dos EUA no seu território. Coincidência? Parecia ser novamente conduzido pela RBN, mas desta vez não houve nenhum estratagema de "patriotas" a expressar as suas opiniões no digital. Por outro lado, a guerra de informação de baixo nível decorre contra a Ucrânia desde 2009, com muitos ataques a coincidir com acontecimentos que podem ser interpretados como ameaçadores para os interesses russos, como uma cimeira da NATO e negociações entre a Ucrânia e a UE para um Acordo de Associação. Em 2014, o New York Times informava que o malware "Snake" se tinha infiltrado no Gabinete do primeiro-ministro da Ucrânia e em várias embaixadas remotas, ao mesmo tempo que os protestos antigovernamentais começavam no país. Em 2013 e 2014, a ESET também documentou ataques contra alvos militares e meios de comunicação social, a que se chamou "Operação Potao Express". Finalmente, chegamos ao mais recente conflito cinético, a invasão da Crimeia em 2014. No início do conflito, soldados sem insígnias assumiram o controlo das redes de telecomunicações da Crimeia e da única troca de informações via Internet na região, causando um blackout de informação. Os atacantes abusaram do seu acesso à rede telefónica móvel para identificar manifestantes anti russos e enviar-lhes SMS que diziam: "Caro assinante, está registado como participante num distúrbio em massa". Após isolar a capacidade de comunicação da Crimeia, os atacantes também adulteraram os telemóveis dos membros do Parlamento ucraniano, impedindo-os de reagir eficazmente à invasão. As campanhas de desinformação entraram em pleno funcionamento – p.ex., a Rússia pagou a uma única pessoa para manter múltiplas identidades diferentes na web, criando blogs e comentando em websites ao mesmo tempo. Outra pessoa foi contratada simplesmente para comentar em notícias e redes sociais 126 vezes a cada 12 horas. Em 2015, a energia foi abruptamente cortada para cerca de metade dos residentes de Ivano-Frankivsk, na Ucrânia, acreditando-se ser o trabalho de hackers patrocinados pelo Estado russo. Os ataques iniciais começaram mais de seis meses antes de a energia ser cortada, quando colaboradores de três centros de distribuição de energia abriram um documento Office malicioso com uma macro que instalou o malware BlackEnergy. Os atacantes conseguiram adquirir credenciais de acesso remoto à rede e assumiram o controlo dos comandos da subestação, bloqueando-os para impedir que se restabelecesse a energia. Além disso, implementaram um "wiper" para bloquear os computadores e conduziram um ataque de denial of service telefónico (TDoS), entupindo as lihas de serviço ao cliente para impedir comunicações. Quase um ano depois, em 2016, as luzes falharam de novo em Kiev. Coincidência? Provavelmente não. Desta vez o malware responsável foi o Industroyer/CrashOverride e era imensamente mais sofisticado. Foi concebido com componentes modulares que faziam scan da rede para encontrar controladores SCADA e também falava a sua língua, com um wiper para apagar o sistema. O ataque não parecia estar relacionado com o BlackEnergy, mas não havia dúvida de quem estava por detrás dele. Os ataques persistentes da Rússia contra a Ucrânia não tinham acabado e a tensão subiu em 2017, quando foi desencadeado um novo malware, o NotPetya. Foi disfarçado de uma nova estirpe de ransomware e implementado através da cadeia de abastecimento pirateada de um fornecedor ucraniano de software de contabilidade. Na realidade, não se tratava de um verdadeiro ransomware: embora encriptasse um computador, era impossível de desencriptar, limpando efetivamente o dispositivo e tornando-o inútil. As vítimas não se limitaram a empresas ucranianas; o malware espalhou-se por todo o mundo em poucas horas, e estima-se que tenha causado pelo menos dez mil milhões em danos. O ciberconflito russo em 2022Em 2022, as tensões ciberpolíticas estão a aproximar-se do ponto de rutura que já conhecemos. No início do ano, a 13 e 14 de janeiro, numerosos websites do governo ucraniano foram invadidos, e os sistemas infetados com malware disfarçado de ataques de ransomware. Os componentes destes ataques ecoam o passado: o malware não era ransomware, era simplesmente um wiper sofisticado, como o utilizado no NotPetya. Para além disso, foram deixadas para trás muitas pistas falsas, implicando que poderiam ser obra de dissidentes ucranianos ou partidários polacos. Distrair, confundir, negar e tentar dividir parece ser agora a estratégia padrão. A 15 de fevereiro, foi desencadeada uma série de ataques DDoS debilitantes contra websites do governo e das forças militares, bem como contra três dos maiores bancos da Ucrânia. Numa ação sem precedentes, a Casa Branca já desclassificou algumas informações e culpou a agência russa de inteligência GRU pelos ataques. A 23 de fevereiro, foi desencadeada outra vaga de ataques DDoS contra os Ministérios dos Negócios Estrangeiros, da Defesa e dos Assuntos Internos, o Gabinete de Ministros e o Serviço de Segurança da Ucrânia. As interrupções duraram cerca de duas horas e até agora não foram atribuídas. Um novo wiper pareceu estar a ser implementado precisamente no meio deste ataque DDoS, com impacto em organizações relacionadas com finanças e fornecedores do governo ucraniano. A 24 de fevereiro, o conflito passou de exclusivamente através de ciberataques para uma guerra terrestre, e estamos a registar atividade de agentes não estatais que podem causar perturbações adicionais e impacto fora da zona de conflito. Primeiro, uma conta no Twitter dos Anonymous, o grupo de hacktivistas, declarou "ciberguerra" contra o governo russo. Algumas horas mais tarde, o prolífico grupo de ransomware Conti publicou uma mensagem no seu site na dark web a declarar o seu "apoio total ao governo russo". Ambas as declarações aumentam o risco para todos nós, quer estejamos ou não envolvidos neste conflito. Os ataques de “vigilantes” em qualquer uma das direções aumentam o nevoeiro da guerra e geram ainda mais confusão e incerteza. A probabilidade de outros grupos criminosos russos aumentarem os ataques contra os aliados da Ucrânia parece ser elevada. Durante o último fim-de-semana, registaram-se vários acontecimentos. Mykhallo Federov, o Vice-Primeiro Ministro da Ucrânia e Ministro da Transformação Digital, enviou um tweet a implorar a pessoas com capacidades informáticas para se juntarem a um exército virtual de TI para ajudar o país a atacar os ativos russos, em retaliação aos ataques de pirataria informática que a Rússia alegadamente perpetrou. Um post da " IT Army " numa plataforma de mensagens incluía uma lista de 31 alvos para os apoiantes atacarem. Muitas pessoas querem apoiar a Ucrânia, mas eu aconselho a não fazerem algo deste género para o demonstrar. A menos que estejam a trabalhar diretamente em nome de um Estado-nação, é provável que estejam a cometer um delito criminal grave. Para além disto, um investigador de cibersegurança na fronteira Ucrânia-Roménia relatou que os sistemas de controlo fronteiriço da Ucrânia tinham sido atingidos por um wiper para perturbar a saída dos refugiados. As boas notícias até agora? Os russos ainda não se serviram de ciberataques para destruir ou perturbar os serviços básicos na Ucrânia. O malware e a ciberdestruição têm sido mínimos; no entanto, não devemos ficar descansados. É pouco provável que esta situação se resolva de uma forma que possa reduzir o risco de ataques online. A estratégia da Rússia para a guerra informáticaE agora? Independentemente de as circunstâncias continuarem a escalar, as ciberoperações vão certamente continuar. A Ucrânia tem estado sob uma vaga constante de ataques, com diferentes graus de picos e depressões, desde que o antigo Presidente Viktor Yanukovych foi deposto em 2014. A "Doutrina Militar Oficial da Federação Russa", de 2010, defende "a implementação prévia de medidas de guerra de informação para alcançar objetivos políticos sem a utilização de força militar e, subsequentemente, no interesse de moldar uma resposta favorável da comunidade mundial à utilização da força militar". Isto sugere uma continuação dos comportamentos anteriores registados antes de um conflito, e faz dos ataques DDoS um sinal potencial de uma resposta cinética iminente. A guerra de informação é a forma que o Kremlin tem para tentar controlar a resposta do resto do mundo às suas ações na Ucrânia ou em qualquer outro alvo de ataques. Pistas falsas, atribuições incorretas, perturbações das comunicações e manipulação das redes sociais: todos são componentes-chave da estratégia da guerra de informação da Rússia. Não precisam de criar uma cobertura permanente das atividades no terreno e noutros locais – precisam simplesmente de causar atrasos, confusões e contradições suficientes para permitir que outras operações simultâneas atinjam os seus objetivos. Preparar-se e proteger-seCuriosamente, os EUA e o Reino Unido estão a tentar antecipar algumas destas campanhas de desinformação, o que poderá limitar a sua eficácia. No entanto, não devemos assumir que os atacantes vão parar de tentar – temos de permanecer preparados e vigilantes. Por exemplo, as organizações em países que fazem fronteira com a Ucrânia devem esperar ser arrastadas para qualquer armadilha online, mesmo que não estejam a operar diretamente na Ucrânia. Anteriormente, os ataques e a desinformação alastraram-se à Estónia, Polónia e outros estados fronteiriços, mesmo que apenas como danos colaterais. De uma perspetiva global, devemos esperar que uma série de freelancers "patrióticos" na Rússia – atacantes de ransomware, phishing e operadores de botnet – ataquem, com ainda mais fervor do que o normal, alvos que consideram estar contra a sua nação. É improvável que a Rússia ataque diretamente os membros da NATO e arrisque a invocação do Artigo V. No entanto, provavelmente dará por terminados os gestos recentes para conter os criminosos que operam na Federação Russa e nos seus parceiros da Comunidade de Estados Independentes (CEI) e, em vez disso, veremos as ameaças a multiplicar-se. Embora a segurança de 'defesa em profundidade' deva ser o padrão a seguir quando tudo está bem, é especialmente importante num momento em que se espera um aumento da frequência e gravidade dos ciberataques. A desinformação e a propaganda vão atingir um pico em breve, mas devemos manter-nos atentos, reforçar as nossas defesas e ter em conta tudo o que for incomum nas nossas redes, à medida que os ciclos de conflito se desenrolam, e mesmo se terminarem em breve. Porque, como todos sabemos, também pode levar meses para que apareçam provas de invasões digitais devido a este conflito russo-ucraniano. |