A guerra entre a Rússia e a Ucrânia também se faz pela via digital, com ciberataques. Existem, por isso, ameaças direcionadas a setores estratégicos europeus de empresas e instituições públicas derivadas deste conflito. Os setores Energético, Telecomunicações, Transportes e Infraestruturas Críticas são os que apresentam um maior risco do ponto de vista da cibersegurança.

“Existe a suspeita de que assistiremos a um aumento dos ciberataques dirigidos a países da União Europeia e outros países pertencentes à NATO. Acreditamos que essas ações poderão não ser abertamente comunicadas pela Rússia, pois isso poderia levar a uma escalda nas reações e despoletar um conflito mundial. Para já, a maioria dos esforços centra-se na Ucrânia, mas com o passar do tempo poderemos assistir a alguns cenários, com a ressalva que se tratam de possibilidades, tais como: utilização de táticas ofensivas cibernéticas que permitam a retaliação sobre os mesmos setores onde a Rússia é alvo de sanções internacionais; patrocínio camuflado de ciberataques, por parte da Rússia, as organizações e empresas de países da União Europeia, Canadá ou os Estados Unidos da América através de grupos de cibercriminosos (como os grupos de Ransomware ou milícias digitais); ciberataques coordenados pelas agências de inteligência FSB ou GRU incidindo em infraestruturas críticas de países próximos à Ucrânia”.
Hugo Nunes, Team Leader de Threat Intelligence na S21sec Portugal

O histórico mostra-nos que desde 2014 há registos de ciberataques entre a Rússia e a Ucrânia, a começar, desde logo nesse mesmo ano, quando atacantes russos bloquearam os sistemas de telecomunicações na Crimeia. Em 2015 e 2016, atacantes supostamente patrocinados pela Rússia atacaram empresas energéticas ucranianas.

Em 2017 o ataque ransomware NotPeya que foi realizado pelas forças russas contra a Ucrânia teve rapidamente impactos significativos em todo resto do mundo. No ano de 2018, já várias agências de segurança internacionais alertavam para operações russas contra setores estratégicos, e no ano passado vários grupos de cibercriminalidade de origem russa realizaram campanhas contra organizações e entidades europeias.

Na análise que a S21sec tem efetuado acerca do conflito entre a Rússia e a Ucrânia, foram já confirmados diversos ataques com malware do tipo Wiper. Este tipo de malware consegue destruir os sistemas aos quais se dirige ou eliminar os dados nos mesmos. Foram já descobertas diversas novas famílias deste tipo de malware utilizados nos ataques direcionados contra a Ucrânia, nomeadamente “WhisperGate”, “HermeticWiper”, “PartyTicket” e “CaddyWiper”.

APT – Grupos de Ameaças Persistentes Avançadas

Os grupos APT vinculados à Rússia são verdadeiras organizações multidisciplinares, com ferramentas de hacking atualizadas e com um nível técnico elevado. Entre os diferentes grupos russos, encontramos os seguintes:

Primitive Bear / Gamaredon — o seu objetivo é levar a cabo atividades de espionagem e recolha de informação, com especial focus na Ucrânia. Este grupo encontra-se ativo pelo menos desde 2013.
Venomous Bear / Turla — campanhas de ciberespionagem contra os setores académico, governamental e telecomunicações. Este grupo é caracterizado pela sua alta motivação e utilização de técnicas sofisticadas de operação.
Cozy Bear (APT29) — um dos grupos com maior atividade direcionada à Ucrânia e os Estados Unidos, com campanhas de spear phishing de volume elevado e um extenso portfólio de malware à sua disposição.

Os malwares do tipo Wiper que se observam de seguida foram atribuídos a alguma APT vinculada a algum estado nação:

SHAMOON — foram identificadas pelo menos seis campanhas relacionadas com este malware, sendo utilizadas pelo menos 3 versões distintas deste malware.
NOTPETYA — os atacantes comprometeram os servidores de um fornecedor de software para introduzir samples do NotPetya nas suas atualizações e, desta forma, passarem despercebidos e disseminarem a componente maliciosa que inicialmente afetou mais de 2000 organizações na Ucrânia, mas que rapidamente se propagou por outras geografias.
STONEDRILL — utiliza inúmeras funções com parâmetros inválidos para tentar evitar a deteção por parte de antivírus e deteções heurísticas. Vítimas deste wiper ocorreram também em países na comunidade Europeia.
OLYMPIC DESTROYER — este malware tenta apagar informação do dispositivo e aumentar a sua dificuldade de recuperação e a análise do incidente. Este wiper teve maior uma das suas primeiras inclusões nos Jogos Olímpicos de Inverno de 2018 realizados na Coria Do Sul.
WHISPERGATE — camufla-se para parecer um ransomware, mas o seu verdadeiro propósito é causar o maior dano possível aos sistemas infetados e deixá-los inoperantes. Este malware foi utilizado contra alvos ucranianos no passado mês de janeiro.