fevereiro 25, 2022

[Segurança] A Guerra cibernética na Ucrânia

(Nota: Desde 01/04 esse post tem sido suspenso e colocado sob revisão do Blogger periodicamente, sob suspeita de violação da política de conteúdo do site. Este post é apenas uma coletânea de fatos técnicos sobre o ciber conflito entre Russia e Ucrânia, obtidos de fontes pública. 

Não há conteúdo malicioso sendo publicado aqui!

Devido a insistencia em suspender este post, eu optei por remover as informações sobre IOCs e colocá-las em um post separado - Eu lamento pela comunidade de segurança ser censurada em tais informações relevantes.

Note: Since 04/01 this post was been suspended and placed under review by Blogger, on suspicion of violating the site's content guidelines. This post is just a collection of technical information and facts about the cyber conflict between Russia and Ukraine, obtained from public sources.

There is no malicious content published here!

Due to the insistence on unpublishing this post, I had to remove the IOCs information and to create another post about it - I'm sorry for the information security community to have to be censored on such relevant information.)

Com o início da guerra da Rússia contra a Ucrânia, em 24 de fevereiro de 2022, é impossível não pensar nos ciber ataques que tem sido realizados nesse período. Isso porque a "guerra cibernética" não só é uma realidade (faz tempo!), mas também porque as operações online e os ataques cibernéticos fazem parte de qualquer estratégia de guerra moderna. A guerra cibernética já existe desde o ataque a Estonia em 2007 e já assistimos a casos de guerra física e cibernética acontecendo juntas desde a invasão da Georgia em 2008. Coincidentemente, os dois casos também foram de conflitos envolvendo a Russia.

De acordo com o Serviço do Estado de Comunicações Especiais e Proteção de Informação da Ucrânia (Derzhspetszviazok), até o final de Junho de 2022 já haviam sido registrados 796 ataques cibernéticos contra a Ucrânia desde o início do conflito, em 24 de fevereiro deste ano - com uma grande parte deles visando a infra-estrutura crítica do país. Muitos dos ciber ataques da Rússia são relacionados, e às vezes diretamente sincronizados, com suas operações militares no mundo físico (cinéticas).

Os ciber ataques contra a infraestrutura crítica da Ucrânia iniciaram em 23 de Janeiro, então podemos dizer, sem sombra de dúvidas, que a primeira ação da guerra foi cibernética. Antes das balas e tanques, vieram os bits e bytes.

Há quem chame esse cenário de "guerra híbrida". Neste caso em particular, como disse muito bem o Wolmer Godoi, estamos vendo "um cenário jamais vivenciado pela história, uma guerra cinética, financeira e cibernética", em contraponto ao modelo de "guerra tradicional", disputada exclusivamente por forças militares na terra, mar e ar.

Eu acrescentaria mais uma coisa... "estamos vivenciando uma guerra cinética, financeira, cibernética e pelo TikTok".

OBS: Para quem não é familiar com o assunto, "guerra cinética" é um termo usado para fazer referência ao cenário de guerra tradicional, no mundo físico - aquela que acontece desde a Idade da Pedra.

O Departamento de Defesa dos EUA resumiu as táticas da Rússia em seu 2023 Department of Defense Cyber Strategy Summary:
"Na guerra da Rússia contra a Ucrânia, as unidades militares e de inteligência russas empregaram uma série de capacidades cibernéticas para apoiar operações cinéticas e defender as ações russas através de uma campanha de propaganda global. A Rússia tem utilizado repetidamente meios cibernéticos nas suas tentativas de perturbar a logística militar ucraniana, sabotar infra-estruturas civis e minar a vontade política. Embora estes esforços tenham produzido resultados limitados, isso deve-se em grande parte à resiliência das redes ucranianas e ao apoio da comunidade internacional."
Ou seja, os ataques cibernéticos acontecem em paralelo as operações de guerra no mundo real, com movimentação de tropas e ataques de mísseis. Como detalha um relatório produzido por pesquisadores associados ao governo da Ucrânia e divulgado pelo portal The Record (entre outros), a Rússia realizou várias operações de guerra sincronizando suas ações no campo de batalha, no ciber espaço e em campanhas de desinformação. Nesse cenário, o papel dos ataques cibernéticos russos é enfraquecer a Ucrânia e sua capacidade de combater operações convencionais, bem como cortar o acesso à informação da população civil. Eles também são usados para espalhar o pânico e minar a confiança nas autoridades locais e nas organizações internacionais que ajudam a Ucrânia.

Outro fator interessante é que estamos assistindo a guerra na Ucrânia através das redes sociais, com vídeos e posts compartilhados instantaneamente, pela Internet, a partir das pessoas que estão vivenciando o conflito, infelizmente: tanto civis e soldados. Assim, temos uma visão mais próxima do terror que é a realidade de uma guerra, sob o ponto de vista de quem está lá.

Para deixar claro, há diversas ações que são realizadas online, por forças militares e por civis, nos momentos antes, durante e depois de uma operação de guerra. Essas ações podem envolver grupos militares, que fazem parte oficialmente das forças armadas, grupos de cibercriminosos e de ciber espionagem independentes, porém apoiados informalmente ou indiretamente por governos específicos, grupos hacktivistas independentes e, inclusive, indivíduos (civis) independentes. Cada um desses grupos tem seu objetivos e tipos de ações bem específicos e claros, desde uma ação de ciber espionagem, ciber ataque a um alvo específico, participar de um protesto ou promover uma campanhas de desinformação - por exemplo. E as ações realizadas por cada num desses grupos podem ou não estar relacionados entre si.

A tabela abaixo resume, de forma bem simplificada, o papel de cada um desses grupos em um cenário de conflito cibernético. O objetivo não é desmerecer um grupo ou outro, até mesmo porque todos tem o seu papel neste momento. Mas é importante entender que cada um desses grupos tem seus objetivos e táticas bem específicos.


Ator Objetivo Complexidade / Risco Antes da Guerra Durante o conflito
Forças Armadas Estratégico e Militar:
Realizam operações de ciber ataque a infra-estrutura critica e alvos militares
Operações de inteligência
Ações de contra-informação
Alto
Ataques sofisticados e de longo prazo (APTs)
Invadir preventivamente os sistemas do país alvo
Campanhas para desacreditar o governo vigente (fake news, ciber ataques para impactar a credibilidade e os sistemas básicos)
Prejudicar ou interromper as operações militares do inimigo
Causar caos entre a população
Distribuir notícias (verdadeiras ou fake) a favor do próprio governo
Espionar o adversário
Grupos de cibercrimes e ciber espionagems (independentes) Fraudes e Espionagem:
Ciber ataques destrutivos e espionagem a empresas e órgãos de governo
Alto
Ataques sofisticados e, às vezes, de médio prazo (APTs)
Desestabilizar as empresas, através de ciber ataques e fraudes
Roubo de informações estratégicas e de negócio
Impactar as operações regulares das empresas
Roubo de informações estratégicas
Grupos Hacktivistas Ativismo e Informação / Desinformação:
Protestos online
Causar impacto (pequeno) a empresas e órgãos militares e de governo
Baixo
Ataques pontuais.
Foco em DDoS, defacement, vazamento de dados e DoX.
Realizar ações de protesto online
Ciber ataques contra empresas e governos
Participar de campanhas de informação ou desinformação
Protestos online
Participar de campanhas de informação ou desinformação
Ciber ataques para causar impacto (pequeno e momentâneo)  a empresas e órgãos de militares e de governo
Indivíduos Ativismo e Informação / Desinformação:
Protestos online
Baixo
Participação em protestos online, compartilhamento de informação e eventual colaboração em ataques de DDoS.
Realizar ações de protesto online
Participar de campanhas de informação ou desinformação
Protestos online
Participar de campanhas de informação ou desinformação

Os grupos hacktivistas são os que normalmente atraem mais atenção durante o conflito - até mesmo porque esse é o principal objetivo deles (atrair atenção da população e da mídia para a causa que defendem). Eles costumam utilizar formas pouco sofisticadas de ataques cibernéticos, principalmente ataques de negação de serviço (DDoS), mas com isso conseguem causar um pequeno impacto temporário em bancos, empresas, farmácias, hospitais, redes ferroviárias e serviços governamentais.

Veja um exemplo interessante de hacktivismo: para combater a censura imposta pelo presidente russo Vladmir Putin, um grupo de programadores da Polônia criou um site que gera números de telefone e e-mails da população da Rússia, permitindo o envio de mensagens para a população russa sobre a guerra na Ucrânia.

Todos esses grupos (militares, hacktivistas, população civil e até mesmo os ciber criminosos) possam ter participação em um cenário de guerra cinética e ciber guerra, e no conflito da Rússia com a Ucrânia isso foi particularmente verdade. Enquanto os exércitos dos dois países tenham realizado diversas ações de ataque e defesa cibernética, logo no início do conflito houve mobilização de hacktivistas apoiando a Ucrânia (na posição de vítima e nação menos poderosa nessa guerra), de grupos ciber criminosos russos apoiando seu país (atacando empresas e órgãos de governo ucraniano com diversos malwares) e civis se organizando e voluntariando em um exército de defesa cibernética da Ucrânia. Mas, como foi muito bem explicado pelo The Grugg, esses grupos tem objetivos e especializações diferentes, e normalmente atuam independente, sem um controle central e sem interação entre si. Tradicionalmente as forças armadas não consideram a população, hacktivistas e ciber criminosos como parte de suas doutrinas e ações de guerra. Do outro lado, ativistas e criminosos não se vêem como aliados e parte das ações de seus governos.

Voltando ao conflito entre a Rússia e a Ucrânia, é importante lembrar que a Rússia tem um longo histórico de uso de ciber ataques em operações militares, desde invasão da Geórgia, em 2008, quando realizou ataques de DDoS contra o governo local no momento da invasão, além de campanhas de informação e desinformação realizadas contra outros países (inclusive, é comum citar a Rússia como exemplo de uso de campanhas de desinformação para influenciar eleições de outros países). Durante os últimos anos também realizou diversos ciber ataques contra a Ucrânia, a ponto dos especialistas considerarem que a Ucrânia era usada como campo de treino das ciber armas russas. Logo, a Rússia não é um adversário a ser ignorado. E, felizmente para a Ucrânia, o país teve oportunidade de testar e reforçar suas defesas cibernéticas, construindo parcerias entre empresas e governos e desenvolvendo estratégias de defesa (veja mais nesse artigo).


A Ucrânia já havia sofrido vários ciber ataques, dois deles considerados de grande extensão: em 2015 quando um ciber ataque do vírus BlackEnergy contra empresas de distribuição de energia (causando um apagão que durou 6 horas), e em 2017, quando diversas empresas locais foram atacadas pelo malware Petya. Para saber um pouco mais sobre isso, vale a pena dar uma lida nesse artigo do The Record.

Alguns ciber ataques aconteceram nos dias que antecederam a triste invasão da Ucrânia por tropas Russas, incluindo o uso de malwares destrutivos e ações para cortar o acesso a Internet do país. Os principais alvos de ciber ataques foram sites do governo ucraniano, provedores de serviços de energia e de telecomunicações, instituições financeiras e meios de comunicação, com grande foco na infraestrutura crítica.

Mas, dado o potencial e a experiência russa, alguns especialistas acreditam que os ciber ataques contra a Ucrânia poderiam ter sido maiores ou mais frequentes. Há quem acredite que o governo russo possa recorrer a novos ciber ataques conforme aumente as tensões com outros países e, talvez, como uma resposta para a escalada das sanções políticas e econômicas contra a Rússia. Outra teoria é que, talvez, o governo russo esteja esperando para contra-atacar assim que os governos ocidentais comecem. realizar ciber ataques contra eles.

Mas uma coisa é certo; uma "ciber arma" tem um curto período de vida. Após realizar o ataque e ser descoberto, a indústria de segurança rapidamente compartilha as características do ataque e seus IOCs, e rapidamente são produzidas medidas de defesa (que podem incluir a criação de parches de segurança para softwares vulneráveis, caso o ataque utilize um zero day). Logo, se um país usasse todo o seu "arsenal" de ciber ataques, rapidamente ficaria desarmado. Logo, os ciber ataques devem ocorrer com muito cuidado e estratégia, justamente para não desperdiçar as capacidades ofensivas do atacante.

Segundo um estudo publicado em Agosto de 2022 por pesquisadores da Universidade de Cambridge, da Universidade de Edimburgo e da Universidade de Strathclyde, os ciber ataques relacionados a guerra entre Rússia e Ucrânia tiveram baixo impacto. Baseados em dados de dois meses antes e quatro meses após a invasão, que incluíram 281.000 ataques de defacement, 1,7 milhão de ataques DDoS e centenas de anúncios no Telegram usados ​ para coordenar suas atividades, o aumento dos ataques cibernéticos durou cerca de duas semanas antes de retornar aos níveis anteriores à guerra. De acordo com a análise, a Rússia foi a primeira a ser atacada em grande escala, seguida pela Ucrânia alguns dias depois. Mas, de acordo com a pesquisa, a maioria dos ataques foi de baixa complexidade, realizada por cibercriminosos de baixo nível usando ferramentas amplamente disponíveis. Os hacktivistas usaram principalmente ataques DDoS que tornaram os sites temporariamente inacessíveis, bem como ataques de desfiguração que alteraram a aparência dos sites. Em vez de atacar a infraestrutura crítica, como esperado, os hackers atacaram “sites inofensivos, extintos ou triviais” com nomes de domínio russos ou ucranianos, incluindo serviços de entrega de alimentos, sites de notícias e serviços de streaming.


Veja abaixo as três ondas de ciber ataques contra a Ucrânia, que ocorreram antes do início da invasão de seu território pelas tropas russas, no dia 24/02:

  • No dia 13 de Janeiro foi identificada a ação de um malware "wiper", batizado de WhisperGate, que sobrescreve a Master Boot Record (MBR) e apresenta uma nota falsa de resgate, simulando um ransomware;
  • Em 13 e 14 de janeiro, diversos sites do governo ucraniano sofreram defacement e saíram do ar após um grande ataque cibernético direcionado.aos portais do Ministério das Relações Exteriores, do Gabinete de Ministros, da Política Agrária, do Conselho de Segurança e Defesa e do Ministério da Educação e Ciência;

  • No dia 15 de fevereiro, um ataque de DDoS derrubou os sites do Ministério da Defesa da Ucrânia e dois bancos, Privatbank e Oschadbank;
  • Em 23 de fevereiro, um pouco antes do início da invasão russa, uma nova onda de ataques DDoS atingiu sites do governo Ucraniano, dos militares e bancos, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros, o Ministério da Defesa, o Ministério de Assuntos Internos e o Serviço Secreto. A botnet utilizada foi baseada no malware Cyclops Blink, baseado no VPNFilter. Também foi utilizado um "wiper", um malware destinado a destruir dados e sistemas, batizado de HermeticWiper (ou FoxBlade).

Segundo a Microsoft, foram identificados pelo menos seis grupos distintos, aliados à Rússia, que lançaram mais de 237 ciber ataques contra a Ucrânia – incluindo ataques destrutivos que ameaçaram o bem-estar da população civil.

Além disso, segundo o governo americano, grupos de ciber espionagem ligados ao governo russo atacaram empresas ligadas ao Departamento de Defesa dos EUA desde janeiro de 2020.

Após o início da invasão da Ucrânia, os ataques cibernéticos começaram desde o primeiro dia do conflito, com objetivo principal de prejudicar a infraestrutura de comunicação da Ucrânia. Um artigo da The Register destacou que o primeiro ciber ataque no conflito foi contra a rede de comunicação por satélite de uma empresa americana, a Viasat: "We are all aware that the first 'shot' in the current Ukraine conflict was a cyberattack against a US space company".

Estima-se que houve um aumento de quase 200% dos ciberataques contra o governo e o setor militar ucranianos nos 3 primeiros dias da guerra. O pessoal da Curated Intelligence fez um timeline bem legal:

Além dos ciber ataques realizados pela Rússia, diversos grupos hacktivistas e de ransomware começaram a tomar partido contra algum dos lados do conflito, incluindo o grupo Anonymous (pró-Ucrânia), o grupo UNC1151 (também conhecido como GhostWriter ou TA445, supostamente bancados pelo governo da Bielorrúsia e historicamente contra a Ucrânia), o grupo responsável pelo ransomware Conti (que inicialmente se manifestou pró-Rússia, mas depois começou a manifestar apoio a Ucrânia e realizou diversos ataques), o grupo responsável pelo TrickBot - ou ITG23 (pró-Rússia) e o grupo russo Gamaredon.

Outro grupo hacktivista pró-russia que ganhou grande destaque nesses conflitos cibernéticos foi o Killnet, responsável por diversos ataques DDoS contra empresas e órgãos de governo nos EUA, Romênia e Itália.

O governo da Ucrânia pediu ajuda para criar um "Exército de TI" ("IT Army") com voluntários e grupos hacktivistas, já que não obteve apoio militar de outros governos, nem da OTAN. O próprio presidente da Ucrânia divulgou, em sua conta no Twitter, um pedido para que hackers se juntassem em um grupo no Telegram para apoiar o país no "cyber front".

Após o chamado da Ucrânia, alguns milhares de voluntários começaram a se organizar online, para participar em diversas iniciativas de apoio e protesto online. Segundo oficiais ucranianos, meio milhão de pessoas ao redor do mundo se voluntariaram a apoiar o "IT Army of Ukraine".

A onda de ciber ataques não parou por aí e seguiu intensa nos dias após a invasão da Ucrânia, incluindo ataques de DDoS, uso de malwares destrutivos (wipers),  roubo e vazamento de dados, defacement, etc. Até mesmo as autoridades russas admitiram que estão sofrendo um nível de ciber ataques sem precedentes.

Veja alguns desses ciber ataques que tem acontecido no decorrer do conflito entre a Rússia e Ucrânia, pelo menos aqueles que eu consegui acompanhar, provavelmente a pontinha do iceberg (em alguns dos casos, a data pode estar aproximada):

  • No dia 24 de Fevereiro, no dia do início da invasão russa e um dia depois do ataque pelo HermeticWiper, um novo malware atacou a Ucrânia, batizado de IsaacWiper pela ESET. A empresa divulgou essa descoberta em 01 de Março;
  • Em 24/02 a rede de acesso internet via satélites KA-SAT da empresa Viasat ficou fora do ar na Ucrânia, coincidindo com o início da invasão russa. Após obter acesso ao sistema de gestão da rede de satélites, o atacante desativou os modems dos clientes usando um malware wiper batizado de AcidRain. A empresa presta serviço para as forças militares e policiais na Ucrânia (mais informações aqui);
  • No dia 27/02 foram vazados 13 meses de conversas internas do grupo hacktivista Conti através do perfil anônimo ContiLeaks, expondo informações do grupo como forma de protesto contra a Rússia;
  • Em 27/02 o grupo hacktivista Belarusian Cyber-Partisans (CP), pró-Ucrânia, anunciou a invasão do sistema de ferrovias da Belarússia, causando a operação manual dos sistemas para impactar a movimentação de tropas russas;
  • 28/02 foi o dia em que o Anonymous invadiu diversos canais da TV estatal russa e transmitiram o hino nacional da Ucrânia e notícias da guerra;
  • Também em 28/02 o Anonymous alegou ter tido acesso a um computador russo do sistema de controle de gás na Ossetia do Norte;
  • No dia 01 de Março o jornal ucraniano Ukrayinska Pravda noticiou um suposto vazamento de dados pessoais de quase 120 mil soldados russos (cerca de metade do contingente russo alocado na guerra). Esse pode ser o primeiro caso de doxxing usado para fins militares da história;
  • Também em 01/03 foi divulgado pela Proofpoint que atacantes estavam usando usando contas de e-mail comprometidas de militares ucranianos para enviar phishing para membros de governos europeus, na tentativa de obter informações sobre os refugiados ucranianos;
  • Em 02/03 hacktivistas invadiram uma rede de estações de carregamento de veículos elétricos na rota entre Moscou e São Petesburgo e colocaram mensagens ofensivas para o presidente russo;
  • Em 03/03 a Malwarebytes alertou sobre uma campanha de phishing ativa pedindo doações em dinheiro (em duas carteiras de criptomoedas) para ajudar os refugiados da Ucrânia;
  • Em 04 de Março, foi noticiado que um ciber ataque cibernético à rede de satélites Nordnet e Eutelsat pode ter sido causado por russos, deixando milhares de pessoas sem acesso a Internet na Europa. Acredita-se que os responsáveis foram russos, com objetivo de cortar o acesso a Internet do pessoal na Ucrânia;
  • Em 04/03 hackers do grupo "v0g3lSec" fizeram um defacement no site do instituto de pesquisa espacial da Rússia e vazou dados da agência espacial russa Roscosmos;
  • Em 06/03, um contra-ataque: o grupo Anonymous anunciou que conseguiu invadir o sinal de redes de streaming Wink e Ivi e TVs russas e transmitiram cenas da guerra;

  • Em 07/03, o mantenedor do pacote node-ipc publicou uma nova versão com um componente malicioso, sob forma de protesto contra a guerra, que causa dano ao ser instalado em computadores com endereço IP da Rússia ou Bielorrúsia (CVE 2022-23812);
  • Ainda em 07/03, o grupo Anonymous alegou ter invadido mais de 400 câmeras de segurança russas;
  • Em 09/03 o grupo de pesquisadores CISCO Talos divulgou a descoberta de um malware disfarçado como um software batizado de "Liberator", promovida por um grupo chamado disBalancer como uma ferramenta para realizar ataques DDoS contra alvos de propaganda da Rússia. O objetivo era infectar os "soldados cibernéticos" pró-Ucrânia, roubando dados da máquina aonde for instalado;
  • Em 10/03, o coletivo hacktivista Distributed Email of Secrets vazou duas coleções de dados com 820 GB de informações e documentos sensíveis da agência federal russa Roskomnadzor, responsável pela censura na imprensa local;
  • Também em 10/03, pesquisadores da empresa Website Planet divulgaram que o hacktivistas do Anonymous e de grupos afiliados conseguiram invadir 90% das bases de dados expostas em servidores vulneráveis de provedores de nuvem russos;
  • Em 12/03 um grupo de programadores poloneses lançou o site 1920.in, permitindo enviar mensagens por e-mail e SMS para a população russa sobre a guerra. Segundo o grupo Squad303, 7 milhões de mensagens SMS foram enviadas;
  • Em 14/03 o Grupo Anonymous hackeou a subsidiária alemã da companhia de energia russa Rosnetf;
  • Ainda no dia 14/03, o CERT da Ucrânia alertou sobre mensagens de phishing se passando por avisos de update do antivírus do Windows para instalar o malware Cobalt Strike;
  • Também no dia 14/03 foi noticiado, pela ESET, um novo malware wiper atacando as redes das empresas da Ucrânia. Batizado de CaddyWiper, ele busca infectar servidores Windows;
  • Em 15/03, um ataque de DDoS atribuído ao grupo Anonymous tirou do ar sites do governo russo, incluindo os sites do serviço secreto (Federal Security Service / FSB), da Bolsa de Valores, Analytical Center for the Government of the Russian Federation e do Ministério dos Esportes;
  • No dia 16/03 surgiu um vídeo falso, usando a tecnologia de "deepfake", para simular que o presidente da Ucrânia, Volodymyr Zelensky estava declarando a rendição das tropas;
  • Em 17/03 o grupo Anonymous vazou 79 GB de dados (incluindo e-mails e documentos internos) da empresa Omega, o braço de pesquisas da Transneft, a maior empresa de oleodutos do mundo, controlada pelo governo russo;
  • Em 12/03 foi noticiado que o grupo IT Army of Ukraine realizou um ataque DDoS que derrubou cerca de 80 cinemas na Rússia;
  • A partir do dia 17/03 as organizações ucranianas começaram a ser atacadas por mais um malware wiper distribuído através de ataques de spear-phishing, batizado de DoubleZero - conforme informado pelo CERT da Ucrânia em 23/03;
  • Em 20/03 o grupo de hackers anti-Rússia The BlueHornet ou AgainstTheWest atacou e desfigurou o site da operação francesa da Nestlé e publicou no Pastebin detalhes pessoais de 15 executivos, supostamente da Nestlé nos EUA;

  • Em 20/03 o grupo Anonymous declarou ter realizado um "Print Attack": invadiram pelo menos 160 impressoras vulneráveis no território russo e impresso mais de 40 mil mensagens anti-guerra no idioma local;
  • Em 22/03 o grupo Anonymous anunciou ter invadido e roubado 10 GB de dados da Nestlé, incluindo e-mails e senhas e dados de clientes. A Nestlé negou.

  • No dia 23/03 o grupo Anonymous anunciou ter roubado mais de 35 mil arquivos do Banco Central da Rússia;
  • No dia 25/03 o grupo "The Black Rabbit World" (Thblckrbbtworld) (afiliado ao Anonymous) vazou 28 GB de documentos internos do Banco Central da Rússia;
  • Em 28/03 um ciber ataque causou grande impacto aos usuários da maior operadora de telecomunicações da Ucrânia, a Ukrtelecom, reduzindo o tráfego para apenas 13%;
  • Também no dia 28/03 o CERT-UA alertou sobre a distribuição de mensagem com o malware PseudoSteel, disfarçado de um arquivo com nome ""Information on the loss of servicemen of the Armed Forces of Ukraine.docx.exe."" (em ucraniano). O vírus rouba arquivos locais e os envia para um servidor FTP externo;
  • Em 12/04 o o Computer Emergency Response Team da Ucrânia (CERT-UA) interrompeu uma tentativa de ciber ataque do Sandworm, um grupo de hackers conhecido por trabalhar para a inteligência militar da Rússia, que tentou derrubar um fornecedor de energia ucraniano;
  • Em 12/05 o CERT-UA alertou sobre uma campanha por e-mail do grupo Armageddon, associado ao FSB russo, através de e-mails falsos distribuindo o malware GammaLoad.PS1v2;
  • Em 19/05 uma variante do backdoor GoMet foi encontrada em uma grande empresa de desenvolvimento de software, que é utilizado por vários órgãos de governo ucranianos;
  • Em 17/06 hackers atrasaram o início do discurso do presidente Vladimir Putin no principal fórum econômico da Rússia. O atraso, de cerca de 100 minutos, foi causado por um ataque DDoS;
  • Em 27/06, o Centro Nacional de Segurança Cibernética da Lituânia, informou que diversas empresas do país foram vítimas de ataques distribuídos de negação de serviço (DDoS) realizados por grupos que apoiam a Rússia, incluindo o Killnet;
  • Em 02/07 diversos sites importantes do governo da Noruega sofreram ataque DDoS por grupos favoráveis à Rússia;
  • Foi noticiado em 05 de Julho que o grupo russo XakNet teria tentado atacar, sem sucesso, a DTEK, empresa que é a maior investidora privada da indústria de energia elétrica do país;
  • Em 10/07 o CERT-UA noticiou que vários meios de comunicação na Ucrânia foram alvo de e-mails contendo um documento malicioso que explora uma vulnerabilidade de dia zero na Microsoft Support Diagnostic Tool (MSDT), CVE-2022-30190 (Follina) e acaba instalando uma variante do Dark Crystal RAT (DCRat) na máquina comprometida;
  • No dia 20/07 foi divulgada a notícia de que hackers russos do grupo Turla criaram um aplicativo malicioso que se identificava como “pró-Ucrânia”, batizado de Cyber Azov (em referência ao Regimento Azov), para instalar um malware nos usuários - o que prometia ser um app para realizar ataques DDoS contra site russos;
  • Em 20/07 um relatório da Mandiant destacou uma campanha de phishing contra organizações ucranianas usando como tema documentos de caráter humanitário e sobre evacuação. Essa operação, atribuída aos grupos UNC1151 e UNC2589, usando o backdoor GRIMPLANT e o infostealer GRAPHSTEEL;
  • No dia 21/07 a operadora de rádio ucraniana TAVR Media foi invadida e divulgou notícias falsas de que o presidente ucraniano, Volodymyr Zelenskyy, tinha se ferido severamente;
  • Em 16/08 a empresa estatal de energia nuclear da Ucrânia, Energoatom, disse que um grupo de hackers russos lançou um grande ciber ataque em seu site que durou 3 horas;
  • Em 26/07 a cidade de Kherson, na Ucrânia, ficou sem Internet por várias horas em um momento em que as forças ucranianas estavam tentando retomar a cidade, ocupada pela Rússia;
  • Em 30/08 a plataforma de streamming russa Start sofre um vazamento de dados, expondo informações de aproximadamente 44 milhões de clientes;
  • Olha a treta... em 30/08 o grupo Gamaredon (pró-Rússia) tentou realizar um ciber ataque e invadir uma grande refinaria de petróleo em um país da OTAN;
  • Em 01/09 hackers do grupo Anonymous criaram um enorme congestionamento em Moscou ao solicitar dezenas de taxis para o mesmo lugar, através do app Yandex;
  • Em 02/09 a maior empresas de taxis da Rússia foi atacada e todos os taxis foram direcionados para o centro de Moscow, causando um grande engarrafamento;
  • Em 15/09 o Talos divulgou um relatório informando que o grupo russo Gamaredon estava realizando uma campanha de phishing direcionada a funcionários do governo ucraniano, utilizando um malware customizado para roubo de dados;
  • Em 26/09 o governo da Ucrânia acusou a Rússia de orquestrar um ciber ataque massivo contra a infraestrutura crítica do país, principalmente o setor de energia;
  • Em 05/10 foi anunciado que o grupo russo Killnet derrubou diversos sites de governos estaduais nos EUA, incluindo Colorado, Kentucky e Mississippi;
  • Em 10/10 diversos aeroportos americanos sofreram ataques de DDoS em seus sites, realizados pelo grupo Killnet;
  • Entre 10 e 12/10, o grupo russo Sandworm (UNC3810) realizou um ataque destrutivo contra uma instalação elétrica na Ucrânia, que coincidiu com um ataque de mísseis na mesma região. Os sistemas de operação e ICS (industrial control system) da empresa foram comprometidos anteriormente por uma variante do malware CaddyWiper;
  • Em 14/10 pesquisadores da Microsoft alertaram sobre um novo ransomware atacando empresas na Ucrânia e Polônia, batizado de "Prestige";
  • Em 15/10 sites do governo da Bulgária sofreram ataques DDoS realizados pelo grupo Killnet;
  • No dia 03/11 hacktivistas da Ucrânia publicaram uma pasta com 27 mil documentos (2,6 GB) supostamente roubados do Banco Central da Rússia;
  • Em 07/11 o grupo Killnet alegou ter derrubado sites dos governos da Estonia, Polônia, Romênia, Bulgária e Moldávia;
  • Desde 21/11 diversas organizações ucranianas foram atacadas pelo Ransomware RansomBoggs, originário da Rússia;
  • Em 01/12 foi identificado o malware CryWiper, do tipo wiper, atacando agencias governamentais russas. O interessante é que o malware se faz passar por um ransomware, pedindo resgate para a vítima - mas mesmo com o pagamento, os dados são apagados;
  • Em 06/12 o banco número 2 da Rússia, VTB, foi atingido pelo maior ataque cibernético de sua história, o que causou dificuldades temporárias no acesso a seu aplicativo móvel e site;
  • Em 08/12 foi noticiado e divulgado pelo CERT-UA que órgãos de governo da Ucrânia e a ferrovia governamental foram vítimas de ataque de phishing que distribuía o malware DolphinCape;
  • Em 09/12 um relatório da Checkpoint divulgou uma operação de ciber-espionagem contra a Rússia e Belorrúsia realizado por um ator chamado Cloud Atlas;  
  • Em 15/12 a Mandiant divulgou que descobriu uma operação contra órgãos de governo da Ucrânia usando um instalador do sistema operacional Windows 10 infectados com trojans, distribuído em um popular site ucraniano;
  • Em 21/12 foi noticiado que policiais ucranianos desmantelaram mais de uma dúzia de "fazendas de bots" que estavam ativas dentro do país, espalhando propaganda russa por meio de mais de 1,5 milhão de contas falsas;
  • Em 22/12 o CERT da Ucrânia alertou sobre uma campanha de phishing direcionada aos usuários do sistema online de monitoramento da situação da guerra utilizado pelas autoridades do país, batizado de "Delta";
  • Em 05/01/23 a Mandiant relatou uma operação direcionada a Ucrânia, batizada de Turla, que usou um malware antigo, Andromeda;
  • Em 07/01 o governo da Moldávia (que tem apoiado a Ucrânia) foi alvo de diversos ataques de phishing;
  • No dia 07/01 um grupo hacker conhecido como Cold River criou páginas de login falsas para três instalações nucleares e as enviou por e-mail a cientistas, na esperança de que revelassem suas senhas;
  • Em 11/01 foi descoberta uma campanha de phishing no Telegram direcionada a cidadãos russos, explorando o receio deles serem convocados para a guerra;
  • Em 25 de janeiro a ESET descobriu um novo ataque cibernético contra a Ucrânia do grupo Sandworm, utilizando um novo wiper batizado de SwiftSlicer, que explora a Diretiva de Grupo do Active Directory;
  • Em 31/01 a ESET divulgou que o grupo Sandworm, afiliado à Rússia, usou novo malware wiper chamada NikoWiper como parte de um ataque ocorrido em outubro de 2022 visando uma empresa do setor de energia na Ucrânia. O ciber ataque coincidiu com ataques de mísseis orquestrados pelas forças armadas russas destinadas à infraestrutura de energia ucraniana;
  • Em 01/02 o CERT-UA em parceria com o CERT da Polônia divulgaram detalhes de uma nova campanha maliciosa do grupo Winter Vivern direcionada às autoridades dos dois países;
  • No dia 02/02 o Centro Estatal de Proteção Cibernética (SCPC) da Ucrânia informou que o grupo Gamaredon, patrocinado pelo estado russo, estava usando os spywares GammaLoad e GammaSteel em suas campanhas direcionadas a autoridades públicas e infraestrutura de informações críticas no país;
  • Em 08/02 o CERT  da Ucrânia (CERT-UA) emitiu um alerta sobre uma campanha massiva de phishing contra autoridades estaduais do país que implantam um software legítimo de acesso remoto chamado Remcos;
  • Também em 08/02 a Symantec identificou que o grupo Nodaria, vinculado à Rússia, estava implantando um novo malware chamado Graphiron , usado para roubo de informações em ataques cibernéticos direcionados à Ucrânia;
  • Em 23/02 o CERT-UA informou que hackers russos invadiram diversos sites governamentais graças a backdoors que foram implantados desde Dezembro de 2021;
  • Em 30/03 foi noticiado que hackers do grupo Winter Vivern exploraram uma falha no Zimbra para acessar e-mails de oficiais da OTAN (NATO) dese fevereiro;
  • Em 06/04, hackers do grupo Cyber Resistence Group invadiram a conta de um blogueiro pró-Rússia no AliExpress e gastaram seus 25 mil dólares em compras de brinquedos sexuais. O blogueiro pretendia usar seu dinheiro para comprar drones chineses e doar para o exército russo;
  • Em 13/04 autoridades da Polônia alertaram sobre uma campanha ativa de ciberespionagem do grupo APT29 (Cozy Bear) contra países da NATO e União Européia;
  • Em 29/04 o CERT-UA publicou um alerta sobre uma nova campanha do grupo Sandworm, direcionado às redes estatais ucranianas, onde o um script batizado de RoarBAT utilizou o  WinRar para destruir dados em dispositivos infectados. Os hackers russos usaram contas VPN comprometidas que não estavam protegidas com autenticação multifator para acessar sistemas críticos nas redes estatais ucranianas;
  • Em 30/04 o CERT-UA alertou sobre uma campanha de phising direcionada a vários órgãos de governo, supostamente com instruções para atualizar os computadores Windows contra ciberataques. As instruções orientavam a vítima a realizar um comando em Powershell que, na verdade, faria o download de um código malicioso. A campanha possivelmente foi orquestrada pelo grupo Fancy Bear;
  • Em 08 de junho, hackers pró-Ucrânia do grupo Cyber Anarchy Squad interromperam os serviços bancários russos depois de atacar uma importante operadora de telecomunicações que fornece serviços para organizações russas, a JSC Infotel;
  • Em 13/06 foi descoberta uma campanha de phishing contra jogadores russos da plataforma de jogos online Enlisted. A campanha direcionava as vítimas para uma página falsa usada para distribuir ransomware;
  • Em 20/06 o grupo APT28 (também conhecido como Fancy Bear e vinculado à Direção Geral de Inteligência (GRU) do Estado-Maior da Rússia) invadiu os servidores de e-mail Roundcube pertencentes a várias organizações ucranianas, incluindo entidades governamentais. Nesses ataques, o grupo usou as notícias sobre o conflito em andamento entre a Rússia e a Ucrânia para induzir os destinatários a abrir e-mails maliciosos que explorariam as vulnerabilidades do Roundcube Webmail. O objetivo da campanha era colher e roubar inteligência militar para apoiar a invasão da Ucrânia pela Rússia;
  • Em 29 de junho, um grupo de hackers até então desconhecidos reivindicou a responsabilidade por um ataque cibernético ao provedor russo de comunicações por satélite Dozor-Teleport, usado por empresas de energia e pelos serviços de defesa e segurança do país (veja discussão sobre autoria do ataque);
  • Em 05/julho hackers ucranianos anunciaram que paralisaram as operações da companhia estatal de trens russa RZD, forçando os passageiros a comprar bilhetes apenas nas estações físicas;
  • Em 12/07 foi noticiado que o grupo APT29, patrocinado pelo estado russo, tem usado iscas não convencionais, como anúncios de carros de luxo, para induzir diplomatas na Ucrânia a clicar em links maliciosos que fornecem malware. Segundo os pesquisadores da Unit 42, esta campanha teve como alvo pelo menos 22 das 80 missões estrangeiras em Kiev, incluindo as dos Estados Unidos, Canadá, Turquia, Espanha, Holanda, Grécia, Estônia e Dinamarca. No entanto, a taxa de infecção permanece desconhecida.

  • Em 13/07 o CERT-UA noticiou que o grupo russo Armageddon (ou Gamaredon) realizou ataques contra milhares de computadores governamentais;
  • Em 18/07 o CERT-UA informou que grupo de hackers russo Turla está atacando as forças de defesa ucranianas com malware de espionagem, os spywares Capibar e Kazuar;
  • Em 07/08, Um grupo de hackers pró-ucraniano publicou uma mensagem no site do registro municipal de propriedades de Moscou, MosgorBTI, anunciaando que as bases de dados do registo foram destruídas e que eles tiveram acesso a todos os dados sobre os locais de residência e propriedades dos habitantes da capital russa;
  • Em 08/08 os serviços de segurança da Ucrânia reportatam que conseguiram prevenir um ataque de hackers do grupo Sandworm, apoiadores da Rússia, contra o sistema de gestão do campo de batalha utilizado pelos militares ucranianos. O alvo inicial eram os tablets Android utilizados pelos soldados, contra os quais foram desenvolvidos sete novos malwares stealers (batizados de NETD, TOR, DROPBEAR, DEBLIND e STL);
  • Em 09/08 o grupo hacker pró-rússia NoName057(16) realizou uma série de ataques a websites franceses e holandeses;
  • Em 17/08 o meio de comunicação russo RIA Novosti publicou uma reportagem trazendo uma mensagem urgente do ator americano John McGinley ao presidente ucraniano Volodymyr Zelensky, pedindo que ele buscasse tratamento contra o abuso de drogas. O vídeo fooi fruto de uma operação ds propagandistas do Kremlin, que enganaram meia dúzia de celebridades para que gravassem vídeos instando o presidente da Ucrânia a procurar tratamento para o abuso de substâncias ilegais;
  • Em 21/08, hackers ucranianos do grupo Cyber Resistance afirmam ter invadido a conta de e-mail de Alexander Babakov, vice-presidente do parlamento russo, expondo documentos que supostamente provam seu envolvimento em esquemas de lavagem de dinheiro e evasão das sanções importas ao país. O grupo vazou 11 GB de e-mails que incluem digitalizações do passaporte, documentos fiscais e financeiros de Babakov, além de seus registros médicos;
  • Em 24/08, o dia da independência da Ucrânia, hackers ucranianos hackearam câmeras de vigilância por toda a Rússia e divulgaram mensagem de orgulho Ucraniano e o hino da Ucrânia nos autofalantes embutidos nesses equipamentos;
  • Em 29/08 surgiram notícias de uma grande campanha de desinformação russa através de artigos falsos em nome do The Washington Post e Fox News;
  • Em 31/08 um relatório do Centro Nacional de Coordenação para Segurança Cibernética da Ucrânia (NCCC) apontou que o grupo Gamaredon, apoiado por Moscow, está intensificando os seus ataques às agências militares e governamentais da Ucrânia, no meio da tão esperada contra-ofensiva do país;
  • Em 05/09, o CERT-UA alertou que o grupo Fancy Bear tentou realizar um ciberataque a uma instalação crítica de energia do país, através de ataques de phishing para tentar obter acesso inicial à vítima;
  • Em 25/09, a empresa Securonix divulgou um relatório sobre uma campanha direcionada aos militares ucranianos, utilizando PDFs disfarçados como manuais de drones e contaminados com o malware MerlinAgent. A campanha, realizada pelo grupo UAC-0154, foi batizada de STARK#VORTEX;
  • Em 28/09 o grupo hacktivista ucraniano IT Army assumiu a responsabilidade por um ataque DDoS "massivo" que causou a interrupção do Leonardo., um sistema de reservas aéreas utilizada por empresas russas. O incidente durou cerca de uma hora e afetou a operação de várias transportadoras aéreas russas, incluindo a Rossiya Airlines, Pobeda e a principal companhia aérea do país, a Aeroflot;
  • Em 15/10, um comunicado do CERT-UA alertou que o grupo hacker russo Sandwork comprometeu 11 provedores de telecomunicações no país entre maio e setembro de 2023, utilizando dois backdoors batizados de Poemgate e Poseidon;
  • Em 17/11 foi divulgada uma campanha recente contra agências governamentais da Ucrânia pelo grupo UAC-0050, através e phishing e usando uma ferramenta familiar de vigilância, chamada Remcos;
  • Em 27/11 foi anunciado que, após uma complexa operação especial bem sucedida, a Direcção Principal de Inteligência do Ministério da Defesa da Ucrânia invadiu e obteve uma quantidade significativa de documentos confidenciais da Rosaviatsiya, a Agência Federal de Transporte Aéreo da Rússia;
  • Em 07/12 Ativistas da oposição na Rússia lançaram uma campanha contra o presidente Vladimir Putin, usando códigos QR aparentemente inocentes colocados em outdoors nas maiores cidades da Rússia, que levaram ao site “Rússia sem Putin”. Os outdoors apresentavam frases como “Feliz Ano Novo, Rússia” e “Rússia, com certeza tudo vai dar certo”;
  • Em 12/12 foi noticiado que a Unidade cibernética da Inteligência de Defesa da Ucrânia atacou o sistema tributário da Rússia e conseguiu destruir todo o banco de dados e suas cópias de segurança. Mesmo após 4 dias de tentativas de recuperar os sistemas, a inteligência ucraniane acredita que a Rússia não será capaz de ressuscitar totalmente o seu sistema fiscal;
  • Em 12/12. o grupo hacktivista Solntsepyok, ligado à Rússia, realizou um ciberataque contra a maior operadora de rede celular da Ucrânia, Kyivstar, deixando 25 milhões de clientes domésticos e de celular sem acesso à Internet. Todos os sistemas da rede central da empresa foram apagados. Hackers do grupo Solntsepek (ligado ao grupo de hackers militares russos Sandworm) assumiram a autoria do ataque e disseram que limparam 10 mil computadores e milhares de servidores na rede da Kyivstar. Segundo autoridades ucranianas, os atacantes invadiram a empresa em Maio, e assim, permaneceram infiltrados na rede da empresa por vários meses;;
  • Entre 15 e 25/12, o grupo Fancy Bear realizou uma campanha de Phishing contra organizações ucranianas e polonesas que levavam ao download do malware Masepie;
  • Em 20/12, o grupo IT Army da Ucrânia alegou ter interrompido as operações do Bitrix24, um provedor russo de serviços de gerenciamento de relacionamento com o cliente (CRM);
  • Também em 20/12, a Rosvodokanal, empresa russa de abastecimento de água, sofreu um suposto ataque cibernético realizado pelo grupo ucraniano Blackjack. O grupo atacou mais de 6.000 computadores e apagou mais de 50 terabytes de dados, incluindo arquivos de backup, correspondência e documentos internos;
  • Em 21/12 o grupo conhecido como Cloud Atlas utilizou mensagens de phishing para atacar uma empresa agroindustrial russa e uma empresa estatal de pesquisa;
  • Em 22/12 o ator de ameaças conhecido como UAC-0099 foi associado a ataques contínuos direcionados à Ucrânia, utilizando mensagens de phishing para entregar o malware LONEPAGE. Foram identificadas três diferentes estratégias de infecções, usando arquivos HTA, arquivos autoextraíveis (SFX) e arquivos ZIP infectados, que exploram a vulnerabilidade do WinRAR CVE-2023-38831;
  • Em 02/01/2024, autoridades Ucranianas desligaram duas câmeras de vigilância que, segundo eles, foram invadidas pela Russia para espionar as forças de defesa e infraestrutura crítica de Kiev, ajudando a direcionar ataques de mísseis;
  • Segundo notícia divulgada em 03/01, um morador da cidade de Veliky Novgorod, na Russia, foi preso pois sua cortina de led, usada na decoração de natal de seu apartamento, estava exibindo mensagens pró-Ucrânia. Segundo o pesquisador AlexGyver, o código-fonte do firmware da cortina de led foi hackeado, de forma a mostrar determinadas mensagens no dia 01 de janeiro, exclusivamente para moradores da Rússia;
  • Em 09/01 o grupo de hackers ucranianos Kiborg publicou em sua página web toda a base de dados da entidade bancária russa Alfa Bank, o maior banco privado da Federação Russa, expondo os dados pessoais de 38 milhões de clientes;
  • Em 11/01, o grupo de hacktivistas pró-Ucrânia ‘Blackjack’ reivindicou um ataque cibernético contra o provedor russo de serviços de internet M9com, como uma resposta direta ao ataque contra a operadora móvel ucraniana Kyivstar.

Além dos ataques acima, alguns outros casos merecem destaque:

  • Entre março e abril de 2023 surgiram notícias sobre dois vazamentos de dados de ambos os lados, aparentemente expondo informações sigilosas sobre o conflito. O primeiro incidente, em março, foi batizado de "Vulkan files" e envolveu o vazamento de documentos com planos russos. Em Abril, arquivos militares altamente confidenciais do Pentágono supostamente foram compartilhados em um fórum no Discord, exibindo táticas e detalhes sobre a guerra e informações sobre as tropas ucranianas. Fotos dos documentos trazem informações sobre as tropas ucranianas, estimativas de baixas, planos para uma suposta contra-ofensiva, informações sobre vigilância e espionagem dos EUA, entre outros. Também há suspeitas de que os documentos vazados façam parte de campanhas de desinformação;
  • Em 21/03/2023 a Kaspersky divulgou que em Outubro de 2022 diversas organizações do governo e dos setores de transporte e agricultura nas regiões da Criméia, Donetsk e Lugansk foram alvos de uma campanha de phishing para distribuir o backdoor PowerMagic;
  • Em 13/07/2023 pesquisadores do CISCO Talos divulgaram um estudo sobre uma campanha maliciosa direcionada a alvos na Ucrânia e Polônia, ativa desde Abril de 2022 e atribuída ao grupo UNC1151 (GhostWreiter), ligado a Bielorússia.

O portal Data Breach Today também fez um resumo dos 4 primeiros meses do conflito entre Rússia e Ucrânia: Major Takeaways: Cyber Operations During Russia-Ukraine War.

A lista acima é apenas a "ponta do iceberg", registrada por mim. Diversos ataques de phishing contra a população ou autoridades governamentais também já foram reportados. Atém disso, o relatório sobre ataques DDoS no 2o trimestre de 2022 da CloudFlare destacou que as empresas de comunicação foram as mais atacadas na Ucrânia, enquanto na Rússia as mais atacadas foram as empresas do setor financeiro (e as de comunicação estão em 3o lugar).

A Mandiant publicou uma lista de campanhas de phishing realizadas pela Rússia:

Um grupo de estudos do parlamento Europeu produziu um levantamento dos ciber ataques realizados contra a Ucrânia até maio de 2022, incluindo os ciber ataques realizados antes do conflito.

Até o final de Junho de 2022 já haviam sido registrados 796 ataques cibernéticos contra a Ucrânia nesses 4 meses desde o início do conflito, em 24/02, segundo informações divulgadas pelo Serviço do Estado de Comunicações Especiais e Proteção de Informação da Ucrânia (ou SSSCIP - sigla em inglês para State Service of Special Communications and Information Protection). Além disso, o Microsoft Threat Intelligence Center (MSTIC) identificou tentativas de ciber ataques partindo de redes russas direcionadas a 128 alvos em 42 países, sem contar a própria Ucrânia.


As informações da SSSCIP também permitiram associar alguns ciber ataques a operações militares Russas no campo de batalha física.

Segundo depoimento do Victor Zhora, responsável pelo State Special Communications Service da Ucrânia, entre o início da guerra e início de Agosto, o país já tinha identificado mais de 1.600 ciber ataques.

Segundo o Serviço de Segurança da Ucrânia, foram bloqueados com sucesso mais de 4.500 ataques cibernéticos em 2022, número três vezes maior do que no ano passado e um aumento de cinco vezes desde 2020, quando apenas 800 ataques cibernéticos foram documentados. Segundo a SSSCIP, até Dezembro de 2022 mais de 2.100 incidentes foram tratados pelo CERT da Ucrânia (CERT-UA), com ataques prioritariamente contra a infraestrutura civil, em vez de militar.

Em dezembro de 2022, segundo a SSSCIP, foram bloqueados 395 ataques DDoS "de alto nível" e identificadas, e bloqueadas, 170.000 tentativas de exploração de vulnerabilidades. Também foram identificados 7 novos tipos de malwares e vírus em 2022.

Segundo o Grupo de Análise de Ameaças do Google, 60% de todos os e-mails de phishing direcionados à Ucrânia no primeiro trimestre de 2023 se originaram de agentes de ameaças russos, destacando o APT28 como um dos principais contribuintes para essa atividade maliciosa.

Relatório de Defesa Digital 2023 da Microsoft, que analisou os ciberataques no período entre julho de 2022 e junho de 2023, apontou a Ucrânia, Israel, Coreia do Sul e Taiwan no topo da lista dos países mais visados. Ao falar sobre o o conflito da Rússia com a Ucrânia, o relatório destacou que quase 50% dos ataques destrutivos russos contra redes ucranianas ocorreram nas primeiras seis semanas da guerra. O relatório também destaca que, embora a maioria dos ciberataques realizados pela Rússia e seus afiliados desde Julho de 2022 tenham sido dirigidas contra organizações ucranianas (48%), mais de um terço foram dirigidas contra organizações em países membros da OTAN.

Com tudo isso acontecendo, tivemos a oportunidade de ver uma participação sem precedentes de pessoas, organizações civis e grupos hacktivistas no cenário da guerra. Principalmente no caso da Ucrânia, diversos ciber ativistas e hacktivistas passaram a buscar diversas formas de apoiar o país e sua população, tais como:

  • protestos online contra a guerra;
  • grupos de hacktivistas se organizando, via Telegram, para apoiar o governo Ucraniano e buscar formas de impactar o esforço de guerra russo;
  • captação de doações para a Ucrânia, em criptomoedas;
  • fornecimento de equipamentos de Internet, para permitir o acesso a rede Starlink, de Internet via satélite;
  • algumas empresas de segurança oferecendo produtos e serviços gratuitamente para o governo da Ucrânia e empresas locais;
  • surgimento de um "programa de bug bounty", oferecendo recompensas para quem indicar fragilidades na infra-estrutura russa;
  • envio de criptomoedas para apoiar os esforços de guerra e a população afetada pelo conflito.

No meio disso tudo, os fraudadores também não perdem tempo. Foi noticiado pelo FBI que golpistas se passam por organizações legítimas de ajuda humanitária ucraniana para coletar doações sob pretexto de ajudar refugiados ucranianos e vítimas da guerra. No final de Junho, as autoridades policiais da Ucrânia prenderam 9 integrantes de um grupo que desviou 100 milhões de hryvnias por meio de centenas de sites de phishing que alegavam oferecer assistência financeira a cidadãos ucranianos. Os criminosos criaram mais de 400 links de phishing para obter dados de cartões bancários das vítimas.

O diagrama abaixo, preparado pelo pessoal da Curated Intelligence, resume quais são os principais grupos hacktivistas e ciber criminosos que se envolveram no conflito cibernético:

Outros países estão tomando partido, direta ou indiretamente, na base da ameaça ou na real. O governo americano tem ameaçado responder a invasão da Ucrânia com ciber ataques contra a Rússia, como parte das medidas de sanções. Em outro movimento, hackers do grupo UNC1151, ligados ao governo da Bielorrúsia, tentaram invadir os e-mails de militares da Ucrânia, segundo o CERT da Ucrânia (CERT-UA).

É claro que as empresas de todo o mundo tem medo de sofrer ciber ataques por grupos relacionados a guerra. Segundo dois alertas emitidos recentemente pela CISA (AA22-011A) e AA22-047A), os ataques de grupos russos são baseados, principalmente, na obtenção de acesso remoto à rede da vítima através de ataques de spear phishing e do uso de credenciais vazadas, ou através de ataques de força bruta contra equipamentos e dispositivos de acesso remoto ou aplicações expostas na Internet. Entre os alvos preferidos, estão os equipamentos FortiGate, CISCO e Big-IP (da F5 Networks), além das ferramentas Citrix, VMWare, Oracle Web Server e Weblogic, e Microsoft Exchange.

A Trellix fez um quadro resumindo os principais grupos e técnicas de ataque utilizados contra a Ucrânia:

Até 01/04, já haviam sido identificados 7 malwares wiper utilizados em ciber ataques contra empresas e órgãos de governo da Ucrânia, incluindo o WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero e o AcidRain.

Segue abaixo alguns dos malwares envolvidos nos ciber ataques mais relevantes no conflito, em ordem alfabética: (veja o PS/2 desse post e veja aqui os IOCs desses malwares)

OBS: 
  1. Na lista acima, eu optei por manter os wipers WhisperGate e WhisperKill juntos pois eu entendi que eles participaram da mesma cadeia de ataque, conforme descrito nos relatórios do CERT.UA e do pessoal do CISCO Talos.
  2. Na lista acima merece destaque o CryWiper, um malware wiper descoberto em Dezembro de 2022 que finge ser um ransomware (chega a pedir resgate para as vítimas!) e, diferente dos demais, é direcionado a atacar empresas russas.
  3. O malware que eu identifiquei acima como Winter Vivern na verdade não teve um nome específico report original do CERT-UA. Por isso, optei por identificar esse caso com o nome do grupo responsável pelo ataque.
  4. A ESET construiu um excelente timeline com os ataques wiper realizados contra a Ucrânia no primeiro ano do conflito;
  5. Na falta de nomenclatura apropriada, eu acabei escolhendo alguns nomes para identificar algumas das campanhas acima (que não foram "batizadas" nos relatórios iniciais). O malware que eu identifiquei acima como Winter Vivern na verdade não teve um nome específico no report original do CERT-UA. Por isso, optei por identificar esse caso com o nome do grupo responsável pelo ataque. Isso também aconteceu com as campanhas que listei acima com os nomes de "Cloaked Ursa" e Corona.

A CISA emitiu um alerta em 26/02 (AA22-057A) que detalha melhor esses malwares e traz vários indicadores (IOCs) a mais sobre o HermeticWiper - alguns dos quais eu atualizei na lista acima.

Segundo a SSSCIP, a Mandiant, o Google e a Microsoft, os grupos hacker mais ativos no ciber conflito na Ucrânia são (em ordem alfabética) (a maioria são pró-Rússia, exceto quando indicado ao contrário):

  • Armageddon / Gamaredon (UAC-0010)
  • Cadet Blizzard / DEV-0586
  • Callisto Group
  • Cloud Atlas / Inception (pró-Ucrânia)
  • Cozy Bear / Nobelium / APT29 (UAC-0029)
  • CyberArmyOfRussia_Reborn
  • Fancy Bear / FrozenLake / BlueDelta / Sednit / Sofacy / APT28 (UAC-0028)
  • Ghostwriter (UNC1151)
  • Killnet
  • Nodaria / DEV-0586 (UNC2589) (UAC-0056)
  • Pushcha
  • NoName057(16)
  • Sandworm / Voodoo Bear / FrozenBarents (UAC-0082)
  • Turla / Venomous Bear (UAC-0024, UAC-0003)
  • UAC-0050
  • Winter Vivern / TA473 (UAC-0114)
  • XakNet
  • Z-Team

OBS: Na lista acima, originalmente retirada de reports da SSSCIP e Mandiant, também incluí o grupo Winter Vivern, reportado pelo CERT-UA.

OBS 2: Segundo essa reportagem do The Record, o grupo Armageddon opera a partir da península da Criméia e segue ordens do serviço secreto russo (FSB). O grupo teria surgido exclusivamente para conduzir ataques contra a Ucrânia, principalmente de ciber espionagem.

Essa pequena reportagem da BBC News (A guerra cibernética entre hackers de Rússia e Ucrânia) fala sobre o perfil dos atores (hackers e hacktivistas) envolvidos na guerra cibernética:

A Mandiant fez um infográfico com as principais operações de guerra cibernética realizadas pela Rússia em 2022:

O pessoal do Internet Storm Center (ISC), do SANS, fez um webcast bem interessante em 25/02 sobre os ciber ataques e as táticas utilizadas pela Rússia:

Com o decorrer da guerra, começou a surgir um debate muito interessante, do ponto de vista da privacidade e segurança cibernética, sobre como o uso excessivo e irresponsável das redes sociais podem acabar facilitando o acesso a informações estratégicas para o exército inimigo. Houve um caso simbólico em um ataque realizado pelas forças militares russas em 14 de março. Neste dia, o exército russo bombardeou uma base militar da Ucrânia na cidade de Yavoriv (mais informações aqui também), perto da fronteira com a Polônia. A base foi destruída e há relatos de pelo menos 35 mortos. Esta base, chamada de Centro para a Manutenção da Paz e Segurança internacional , estava sendo usada para receber e treinar pessoas de outos países que se voluntariaram a fazer parte do exército Ucraniano, numa espécie de "legião estrangeira de voluntários", a maioria ex-militares de diversos países ao redor do mundo. Especula-se que o ataque foi possível graças a espiões russos infiltrados entre os voluntários ou, simplesmente, pois voluntários brasileiros estavam postando fotos nas redes sociais indicando sua localização !!!

O conflito tem causado diversas sanções Econômicas contra a Rússia, na tentativa de conter a agressão. A indústria de segurança, em particular, não passou ilesa: após a Alemanha recomendar que as empresas desinstalem os produtos da Kaspersky, no final de Maio foi a vez dos EUA banirem completamente o uso de produtos da Kaspersky em todo o território nacional, graças à uma decisão da Federal Communications Commission (FCC) que categorizou a empresa como "um risco inaceitável" à segurança do país.

Uma pesquisa da empresa americana Venafi com mais de 1.100 executivos de segurança em todo o mundo mostrou que as empresas estão preocupadas com a guerra cibernética na Ucrânia e seus impactos: (adicionado em 30/08):

  • O conflito entre a Rússia e a Ucrânia causou mudanças na estratégia de segurança cibernética em 66% das organizações entrevistadas;
  • 64% dos executivos suspeitam que sua organização tenha sido diretamente visada ou impactada por um ataque cibernético de um estado-nação;
  • Mais de dois terços (68%) tiveram conversas com o conselho e com a alta administração em resposta ao conflito entre a Rússia e Ucrânia;
  • 63% duvidam que saberiam se sua organização foi hackeada por um estado-nação.

Em Julho de 2023, quando o conflito já passou da marca de 500 dias, especialistas indicaram que o volume de ciberataques contra a Ucrânia tem aumentado, na medida que acontece a contra-ofensiva do país no campo de batalha. Os ciberataques de hacktivistas, cibercriminosos patrióticos e até mesmo mercenários pró-rússia tem atingido até mesmo países que apoiam a Ucrânia e a Finlandia, que recentemente entrou para a OTAN. O CERT-UA tratou com 701 incidentes entre janeiro e abril de 2023, com os serviços públicos no centro dos ataques. Cerca de um quarto dos ataques foram direcionados a agências governamentais e militares, com muitos dos restantes visando a rede elétrica, finanças, transporte, telecomunicações e outros elementos da infraestrutura crítica da Ucrânia.

Ao rever a sua estratégia de ciberdefesa em setembro de 2023, o Pentágono destacou que “havia uma sensação de que o ciberespaço teria um impacto muito mais decisivo na guerra do que aquele que experimentámos. O que este conflito nos mostra é a importância das capacidades cibernéticas integradas e juntamente com outras capacidades de combate.”. Ou seja, estamos vendo na guerra da Ucrânia que, apesar do impacto relativamente limitado dos ciberataques no palco da guerra, sem dúvida eles representam um componente muito importante da estratégia militar de ambos os lados.

Para saber mais:


    PS: Texto atualizado em 02/03 e grande atualização em 04/03. Atualizado em 07, 08 e 09/03. Novas referências incluídas em 10 e 11/03. Nova atualização em 16, 21, 22, 28, 30/03 e 01/04. Atualizado em 05/04. Feito pequenos ajustes no texto em 06/04. Atualizado em 08 e 11/04 para retirar os IOCs dos malwares (veja o PS/2). Pequenas atualizações em 01 e 09/06. Post atualizado em 14 e 22/07 e novamente em 30/08 e nos dias 02, 06 e 30/09. Novas atualizações, pequenas. em 05, 11, 14, 19, 21 e 25/10. Atualizado em 07, 09 e 18/11. Atualizado em 07+08 e 20+26+31/12/2022.

    PS 1,5: Virou o ano e continuamos com o conflito entre a Rússia e a Ucrânia. Post atualizado em 09, 12, 13, 20, 23 e 24/01/2023. Atualizado em 23 e 31/03, em 04, 06, 09, 12 e 22/04, em 03+04+05 e 09+12/05 Atualizado em 10 e 12 e 20, 26 e 30/06. Pequena atualização em 03/07 e novo update em 11+14+17/07. Nova atualização em 03, 17, 22 e 23/08, e também em 12 e 20+21/09 e em 03+10+13+16/10. Atualizado em 17 e 27+30/11 e 08+13+16+18+22+29/12. Pequena atualização em 03/01/2024. Atualizado em 16/01, 21/02, 02/03 e 24/03.

    PS/2 (adicionado em 08/04): Optei por publicar um novo post com os IOCs dos malwares que atacaram a Ucrânia, devido a insistência da plataforma Blogger em suspender esse post diariamente (desde 01/04) sob a alegação de que violava o Community Guidelines - por conter informações sobre vírus. Eu lamento muito em ver que um controle automatizado e mal feito impede o compartilhamento de informação importante entre a comunidade de segurança :(

    PS3 (02/06): Por algum motivo bizarro e sem noção, esse post foi suspenso temporariamente pela Google em 29/05/22, sub suspeita de violar as regras de comunidade referente a Malware e Vírus.

    PS4 (10/06/23): Vai um meme aí?


    Creative Commons License
    Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.