Ataques cibernéticos na Ucrânia em 2022


Em 14 de janeiro de 2022, um ataque cibernético derrubou mais de uma dúzia de sites do governo da Ucrânia[1] durante a crise russo-ucraniana de 2021-2022. De acordo com autoridades ucranianas, cerca de 70 sites governamentais, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros e o Conselho de Segurança e Defesa, foram atacados. A maioria dos sites foi restaurada poucas horas após o ataque.[2] Um mês depois, em 14 de fevereiro, outro ataque cibernético derrubou vários serviços governamentais e bancários.[3]

Contexto

No momento do ataque, as tensões entre a Rússia e a Ucrânia eram altas, com mais de 100.000 soldados russos estacionados perto da fronteira com a Ucrânia e as negociações entre a Rússia e a OTAN em andamento.[1] O governo dos EUA alegou que a Rússia estava se preparando para uma invasão da Ucrânia, incluindo "atividades de sabotagem e operações de informação". Os EUA também supostamente encontraram evidências de "uma operação de bandeira falsa" no leste da Ucrânia, que poderia ser usada como pretexto para invasão.[2] A Rússia negava as acusações de uma invasão iminente, mas ameaçou "uma ação técnico-militar" se suas exigências não forem atendidas, especialmente um pedido para que a OTAN nunca admita a Ucrânia na aliança. A Rússia se manifestou fortemente contra a expansão da OTAN para suas fronteiras.[2]

Ataque de janeiro

Os ataques de 14 de janeiro de 2022 consistiram nos hackers substituindo os sites por textos em ucraniano, polonês errôneo e russo, que afirmavam "tenha medo e espere o pior" e alegavam que informações pessoais vazariam para a Internet.[4] Cerca de 70 sites governamentais foram afetados, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros e o Conselho de Segurança e Defesa.[5] A SBU afirmou que nenhum dado vazou. Logo após a mensagem aparecer, os sites foram retirados do ar. A maioria dos sites foram restaurados em poucas horas.[1] O vice-secretário do NSDC, Serhiy Demedyuk, afirmou que a investigação ucraniana do ataque suspeita que os direitos de administração de uma empresa terceirizada foram usados para realizar o ataque. O software da empresa não-identificada era usado desde 2016 para desenvolver sites do governo, a maioria dos quais foi afetada no ataque.[6]

Um ataque de malware destrutivo separado ocorreu na mesma época, aparecendo pela primeira vez em 13 de janeiro. Detectado pela primeira vez pelo Microsoft Threat Intelligence Center (MSTIC), o malware foi instalado em dispositivos pertencentes a "vários governos, organizações sem fins lucrativos e de tecnologia da informação" na Ucrânia.[7] Mais tarde, isso foi relatado para incluir o Serviço de Emergência do Estado e o Departamento de Seguro de Transporte Motorizado.[8] O software, designado DEV-0586 ou WhisperGate, foi projetado para se parecer com um ransomware, mas não possui um recurso de recuperação, indicando a intenção de simplesmente destruir arquivos em vez de criptografá-los para resgate.[7] O MSTIC relatou que o malware foi programado para ser executado quando o dispositivo de destino for desligado. O malware substituiria o registro mestre de inicialização (MBR) por uma nota de resgate genérica. Em seguida, o malware baixa um segundo arquivo .exe, que substituiria todos os arquivos com determinadas extensões de uma lista predeterminada, excluindo todos os dados contidos nos arquivos de destino. A carga útil do ransomware difere de um ataque de ransomware padrão de várias maneiras, indicando uma intenção exclusivamente destrutiva.[9] No entanto, avaliações posteriores indicam que os danos foram limitados, provavelmente uma escolha deliberada dos atacantes.[8]

Reações ao ataque de janeiro

Rússia

A Rússia negou as alegações da Ucrânia de que estava ligada aos ataques cibernéticos.[10]

Ucrânia

Instituições governamentais ucranianas, como o Centro de Comunicações Estratégicas e Segurança da Informação e o Ministério das Relações Exteriores, sugeriram que a Federação Russa foi a perpetradora do ataque, observando que esta não seria a primeira vez que a Rússia atacaria a Ucrânia.[4]

União Europeia

O Alto Representante da União Europeia, Josep Borrell, disse sobre a origem do ataque: “Pode-se muito bem imaginar com certa probabilidade ou margem de erro, de onde pode vir”.[11]

OTAN

O Secretário-Geral da OTAN, Jens Stoltenberg, anunciou que a organização aumentaria sua coordenação com a Ucrânia em ciberdefesa diante de possíveis ataques cibernéticos adicionais. A OTAN anunciou mais tarde que assinaria um acordo concedendo à Ucrânia acesso à sua plataforma de compartilhamento de informações de malware.[2][4]

Ataque de 15 de fevereiro

Em 15 de fevereiro, um grande ataque DDoS derrubou os sites do Ministério da Defesa, do Exército e dos dois maiores bancos da Ucrânia, PrivatBank e Oschadbank.[12] O monitor de segurança cibernética NetBlocks informou que o ataque se intensificou ao longo do dia, afetando também os aplicativos móveis e caixas eletrônicos dos bancos.[12] O The New York Times descreveu-o como "o maior ataque desse tipo na história do país". Autoridades do governo ucraniano afirmaram que o ataque provavelmente foi realizado por um governo estrangeiro e sugeriram que a Rússia estava por trás dele.[3] Embora houvesse temores de que o ataque de negação de serviço pudesse ser coberto por ataques mais sérios, uma autoridade ucraniana disse que nenhum ataque desse tipo foi descoberto.[8]

De acordo com o governo do Reino Unido[13] e com o Conselho de Segurança Nacional dos EUA, o ataque foi realizado pelo Departamento Central de Inteligência (GRU). A autoridade americana de segurança cibernética Anne Neuberger afirmou que a infraestrutura GRU conhecida foi notada transmitindo grandes volumes de comunicações para endereços e domínios IP baseados na Ucrânia.[14] O porta-voz do Kremlin, Dmitry Peskov, negou que o ataque tenha se originado da Rússia.[15]

Ataque de 23 de fevereiro

Um terceiro ataque DDoS derrubou vários sites do governo, militares e bancos ucranianos. Embora os sites militares e bancários tenham sido descritos como tendo “uma recuperação mais rápida”, o site da SBU ficou offline por um longo período.[16] Pouco antes das 17h, um malware de limpeza de dados foi detectado em centenas de computadores pertencentes a várias organizações ucranianas. A ESET Research apelidou o malware de HermeticWiper, nomeado por seu certificado de assinatura de código genuíno da empresa Hermetica Digital Ltd, com sede em Chipre. O limpador foi compilado em 28 de dezembro de 2021, o que implica que o ataque havia sido planejado com meses de antecedência.[17] Um dia antes do ataque, a União Europeia havia implantado uma equipe de resposta rápida cibernética composta por cerca de dez especialistas em segurança cibernética da Lituânia, Croácia, Polônia, Estônia, Romênia e Holanda. Não se sabe se essa equipe ajudou a mitigar os efeitos do ataque cibernético.[18]

O ataque coincidiu com o reconhecimento russo das regiões separatistas no leste da Ucrânia e a autorização do envio de tropas russas para lá. Os EUA e o Reino Unido culparam a Rússia pelo ataque. A Rússia negou as acusações e os chamou de “russofóbicos”.[16]

Referências

  1. a b c «Ukraine cyber-attack: Russia to blame for hack, says Kyiv». BBC (em inglês). 14 de janeiro de 2022. Consultado em 24 de fevereiro de 2022 
  2. a b c d Polityuk, Pavel; Holland, Steve (14 de janeiro de 2022). «Cyberattack hits Ukraine as U.S. warns Russia could be prepping for war». Reuters (em inglês). Consultado em 24 de fevereiro de 2022 
  3. a b Hopkins, Valerie (15 de fevereiro de 2022). «A hack of the Defense Ministry, army and state banks was the largest of its kind in Ukraine's history.». The New York Times (em inglês). Consultado em 24 de fevereiro de 2022. Cópia arquivada em 17 de fevereiro de 2022 
  4. a b c Kraver, Andrew (14 de janeiro de 2022). «Hackers Bring Down Government Sites in Ukraine». The New York Times (em inglês). Consultado em 24 de janeiro de 2022 
  5. Polityuk, Pavel (14 de janeiro de 2022). «EXCLUSIVE Hackers likely used software administration rights of third party to hit Ukrainian sites, Kyiv says». Reuters (em inglês). Consultado em 24 de fevereiro de 2022 
  6. Polityuk, Pavel (16 de janeiro de 2022). «EXCLUSIVE Ukraine suspects group linked to Belarus intelligence over cyberattack». Reuters (em inglês). Consultado em 24 de fevereiro de 2022 
  7. a b «Destructive malware targeting Ukrainian organizations». Microsoft (em inglês). 15 de janeiro de 2022. Consultado em 24 de fevereiro de 2022 
  8. a b c Kurmanau, Yuras; Bajak, Frank (15 de janeiro de 2022). «Cyberattacks knock out sites of Ukrainian army, major banks». AP News (em inglês). Consultado em 24 de fevereiro de 2022 
  9. Sanger, David E. (16 de janeiro de 2022). «Microsoft Warns of Destructive Cyberattack on Ukrainian Computer Networks». The New York Times (em inglês). Consultado em 24 de fevereiro de 2022 
  10. McMillan, Robert; Volz, Dustin (20 de janeiro de 2022). «Ukraine Hacks Signal Broad Risks of Cyberwar Even as Limited Scope Confounds Experts». The Wall Street Journal (em inglês). Consultado em 24 de fevereiro de 2022 
  11. Bizozowski, Alexandra; Pollet, Mathieu (14 de janeiro de 2022). «EU pledges cyber support to Ukraine, pins hopes on Normandy format». Euractiv (em inglês). Consultado em 24 de fevereiro de 2022 
  12. a b «Ukraine banking and defense platforms knocked out amid heightened tensions with Russia». NetBlocks (em inglês). 15 de fevereiro de 2022. Consultado em 24 de fevereiro de 2022 
  13. «UK assesses Russian involvement in cyber attacks on Ukraine» (em inglês). gov.uk. 18 de fevereiro de 2022. Consultado em 24 de fevereiro de 2022 
  14. Vasquez, Maegan; Liptak, Kevin; Klein, Betsy (19 de fevereiro de 2022). «Biden says he's now convinced Putin has decided to invade Ukraine, but leaves door open for diplomacy» (em inglês). CNN. Consultado em 24 de fevereiro de 2022 
  15. «Нова кібератака на банки була "найбільшою в історії України" й досі триває» (em ucraniano). BBC. 24 de fevereiro de 2022. Consultado em 24 de fevereiro de 2022 
  16. a b «Ukraine crisis: 'Wiper' discovered in latest cyber-attacks» (em inglês). BBC. Consultado em 24 de fevereiro de 2022 
  17. «HermeticWiper: New data‑wiping malware hits Ukraine» (em inglês). WeLiveSecurity. 24 de fevereiro de 2022. Consultado em 24 de fevereiro de 2022 
  18. Tidy, Joe (22 de fevereiro de 2022). «Ukraine: EU deploys cyber rapid-response team» (em inglês). BBC. Consultado em 24 de fevereiro de 2022