[Segurança] Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia

A guerra em andamento entre a Rússia e Ucrânia tem um componente cibernético relevante, que vamos discutir intensamente nos próximos anos. Mas, em particular, algumas notícias recentes mostram que esse conflito está inaugurando novas táticas de guerra cibernética e hacktivismo:

• O uso de malwares Wiper como "ciber arma" de destruição: Desde o início do conflito a Ucrânia tem sido alvo de malwares do tipo "wiper" criados por grupos associados direta ou indiretamente a Rússia. Esses malwares causaram destruição em várias empresas e órgãos de governo, incluindo empresas de telecomunicações;
• Uso de malwares destrutivos direcionados a impactar a infraestrutura crítica, sendo que o principal exemplo nesse caso foi do malware FrostyGoop, usado em janeiro de 2024 em um ciberataque contra a distribuidora de energia Lvivteploenergo, na cidade de Lviv, na Ucrânia. O ataque resultou em 600 residências sem aquecimento em pleno inverno;
• "Protestware": Em 07/03, o mantenedor do pacote node-ipc publicou uma nova versão com um componente malicioso, como forma de protesto contra a guerra, que causa dano ao ser instalado em computadores com endereço IP da Rússia ou Bielorrúsia. O código incluía um pacote batizado de "peacenotwar" que gravava um arquivo com mensagem de protesto nos desktops. A chamada foi removida posteriormente, na versão 10.1.3, e esse problema recebeu o CVE 2022-23812 (com ocorre de risco altíssimo, 9,8 de 10);

• "Deepfake em fake news": No dia 16/03 surgiu um vídeo falso compartilhado nas redes sociais, usando a tecnologia de "deepfake" para simular que o presidente da Ucrânia, Volodymyr Zelensky estava declarando a rendição das tropas. O site da emissora de televisão Ukraine 24 foi hackeado para divulgar o vídeo, que rapidamente viralizou nas redes sociais. Esse é o primeiro caso conhecido de deepfake usado como arma de desinformação em um conflito;

• "Drone kamikaze com Inteligência Artificial": Segundo notícias, a Rússia está usando um novo tipo de drone para realizar bombardeios na Ucrânia. O Drone russo KUB-BLA pode voar por 30 minutos e carregar 3 kg de explosivos, e utiliza um sistema baseado em Inteligência Artificial (IA) para identificar e atingir o seu alvo. O seu uso desperta a discussão sobre o risco do uso de IA em armas robóticas de guerra;

• Drones domésticos usados para lançar granadas: Há relatos que os dois lados da guerra estão usando drones domésticos que foram modificados para lançar granadas nas tropas inimigas;

• Uso de IA para espionagem: Ao conseguir interceptar uma transmissão de rádio entre soldados russos na Ucrânia no início de março, que foi realizada em um canal não criptografado, um sistema de inteligência artificial estava automaticamente capturando, transcrevendo, traduzindo e analisando as conversas, usando vários algoritmos de inteligência artificial desenvolvidos pela empresa americana Primer. A Primer adaptou algoritmos de IA que já possui e eram treinados para transcrever e traduzir chamadas telefônicas. A ferramenta modificada também remove o ruído de fundo e destacam as principais declarações relevantes para a situação do campo de batalha, permitindo analisar e gerar informações de inteligência para o exército ucraniano;
• Amplo ataque as redes de comunicação por satélites: empresas que oferecem serviços de comunicação telefônica e Internet tem sido alvos de ciber ataques desde o início do conflito, como forma de interromper a comunicação na Ucrânia, incluindo ataques a empresas civis, e causando impacto em vários países;
• Wikipedia sendo usada na guerra de desinformação, com edição de artigos existentes para alinhar com narrativas específicas e viesadas do conflito;
• Interferência em GPS para impactar as tropas inimigas, dificultando sua movimentação e impactando na precisão nos ataques. Com o uso de drones no conflito (por ambos os lados), a interferência em sinais de GPS permite inviabilizar a sua operação remota.

• Uso de jogos online para compartilhar notícias e evitar censura: Segundo notícias, um jornal finlandês criou um mapa personalizado de Counter-Strike: Global Offensive (CS:GO) feito explicitamente para contornar a censura russa de notícias e contrabandear informações sobre a guerra na Ucrânia para jogadores russos. Um mapa CS:GO personalizado, chamado 'de_voyna', imita as ruínas de uma cidade eslava aonde um bunker subterrâneo secreto acessível aos jogadores exibe informações sobre a guerra na Ucrânia. A sala apresenta diversos dados sobre a guerra em inglês e russo, incluindo estatísticas de mortes do exército russo, detalhes sobre ataques com mísseis e atrocidades cometidas contra civis;
• Uso de falsos jogos online para espionagem: O serviço de segurança ucraniano (SBU) descobriu uma campanha de espionagem por serviços de inteligência russos envolvendo o recrutamento de adolescentes ucranianos para atividades de espionagem disfarçadas de "jogos de desafios" ( "quest games"). Sob o disfarce de regras de "jogo de busca" elaboradas pelo FSB (onde os jogadores completam tarefas como parte de um jogo) os menores receberam coordenadas de geolocalização e foram instruídos a viajar para esses locais, tirar fotos e vídeos dos alvos e fornecer breves descrições das áreas para os espiões russos por meio de aplicativos de mensagens anônimas. Dessa forma, especula-se que as forças armadas russas usaram esses dados para coordenar ataques aéreos na cidade de Kharkiv;
• Ataques direcionados aos smartphones de soldados: A Rússia percebeu que os smartphones usados ​​pelos soldados da linha de frente fornecem uma fonte inestimável de dados de localização para estabelecer padrões de movimento e localizar as posições ucranianas. Além disso, a dependência dos militares ucranianos de aplicativos gratuitos de mensagens criptografadas ("encrypted messaging applications", EMAs) cria oportunidades para espionar essas comunicações. Uma abordagem comum que foi observada é mascarar malwares como versões de aplicativos móveis, associadas a campanhas de engenharia social altamente personalizadas, como interagir diretamente com alvos em chats do Signal e do Telegram. Outra técnica tem sido usar engenharia social para tentar vincular os apps de EMA a instâncias controladas pela inteligência russa. Além disso, a Rússia busca obter e explorar de acesso a dispositivos móveis e outros sistemas capturados pelas forças russas no campo de batalha. (NOVO)

Em comum, esse ferramental tático e tecnológico representa um potencial de amplificar o impacto dos ciber ataques e protestos online durante momentos de conflito, na medida em que passarem a ser utilizados com maior freqüência.

Mas olha o outro lado da moeda: o conflito na Ucrânia está fazendo algumas organizações internacionais tratar a guerra cibernética sob a mesma ótica do conflito tradicional:

• Aqui no blog: OTAN pretende responder a ataques cibernéticos!
• The International Criminal Court Will Now Prosecute Cyberwar Crimes (Wired, 07/09/2023): A Corte Internacional de Haia está investigando e pretende processar todos os crimes de hacking que violam as leis internacionais durante o conflito cibernético - como o impacto na população civil dos ciber ataques contra a infraestrutura crítica.

Para saber mais:

• Aqui no blog:
• Guerra cibernética na Ucrânia
• Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia
• Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
• A Zelensky Deepfake Was Quickly Defeated. The Next One Might Not Be
• Facebook and YouTube say they removed Zelensky deepfake
• Facebook remove deepfake em que Zelensky declara rendição; assista o vídeo
• Concerns as killer AI drone pictured in Ukraine
• Russia's Killer Drone in Ukraine Raises Fears About AI in Warfare
• ‘Deepfake’: prefeita de Berlim faz videochamada com homem que se passou por prefeito de Kiev
• Russian Information Operations Aim to Divide the Western Coalition on Ukraine
• Ukrainian Radio Stations Hacked to Broadcast Fake News About Zelenskyy's Health
• Vale a pena ler: Russia-Ukraine War: 7 Cybersecurity Lessons Learned
• Interrupção de satélite na Europa e Ucrânia foi causada por malware
• Rússia inclui satélites civis na lista de alvos militares
• Ukraine Enters a Dark New Era of Drone Warfare (Wired)
• Russian military uses Chinese drones and bots in combat, over manufacturers' protests
• Researchers: Wikipedia a front in Russian propaganda war
• UCRÂNIA: pequenos drones civis causam baixas nas tropas russas
• Granada é lançada de drone ucraniano no colo de soldado russo; assista ao vídeo
• GPS Signals Are Being Disrupted in Russian Cities
• Russos mentem na mídia por conta da guerra com a Ucrânia
• Excelente artigo sobre o uso de drones no conflito da Rússia com Ucrânia: Mass-market military drones have changed the way wars are fought
• Movie torrents hijacked to send tips on bypassing Russian censorship
• New CS:GO map bypasses Russia's censorship of Ukraine war news
• Exclusive: Inside Ukraine’s secret drone factories
• Ukraine Building ‘Army of Drones’ From Donations
• Russia Adjusts Cyber Strategy for the Long Haul in War With Ukraine
• Sobre a censura russa à imprensa:
• Kremlin doubled its blocking of independent media sites this year, researchers say
• Moscow lists Recorded Future as 'undesirable' organization
• Ukraine uncovers Russian spy network recruiting teens for espionage
• Russia Recruits Ukrainian Kids for Sabotage and Reconnaissance
• Russia Shifts Cyber Focus to Battlefield Intelligence in Ukraine (NOVO)
• Russia Targeting Ukrainian Military Recruits With Android, Windows Malware, Google Says (NOVO)
• Sandworm-linked hackers target users of Ukraine’s military app in new spying campaign (NOVO)
• Intelligence Brief: Impact of FrostyGoop ICS Malware on Connected OT Systems (NOVO)
• New ICS Malware 'FrostyGoop' Targeting Critical Infrastructure (NOVO)

PS: Post atualizado em 05/04, nos dias 14 e 22/07, em 30/08, 30/09, 20/10 e também em 09 e 18/11 e em 08, 12 e 20/12. Atualizado em 12/01/2023, 11/04, 08/05 e 12/09, 16/10 e 22/12. Pequena atualização em 15/09/2024. Atualizado em 23/12 e 20+28/01/2025.