Ataques cibernéticos na Ucrânia em 2022
ContextoVer artigo principal: Crise russo-ucraniana (2021–presente)
No momento do ataque, as tensões entre a Rússia e a Ucrânia eram altas, com mais de 100.000 soldados russos estacionados perto da fronteira com a Ucrânia e as negociações entre a Rússia e a OTAN em andamento.[1] O governo dos EUA alegou que a Rússia estava se preparando para uma invasão da Ucrânia, incluindo "atividades de sabotagem e operações de informação". Os EUA também supostamente encontraram evidências de "uma operação de bandeira falsa" no leste da Ucrânia, que poderia ser usada como pretexto para invasão.[2] A Rússia negava as acusações de uma invasão iminente, mas ameaçou "uma ação técnico-militar" se suas exigências não forem atendidas, especialmente um pedido para que a OTAN nunca admita a Ucrânia na aliança. A Rússia se manifestou fortemente contra a expansão da OTAN para suas fronteiras.[2] Ataque de janeiroOs ataques de 14 de janeiro de 2022 consistiram nos hackers substituindo os sites por textos em ucraniano, polonês errôneo e russo, que afirmavam "tenha medo e espere o pior" e alegavam que informações pessoais vazariam para a Internet.[4] Cerca de 70 sites governamentais foram afetados, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros e o Conselho de Segurança e Defesa.[5] A SBU afirmou que nenhum dado vazou. Logo após a mensagem aparecer, os sites foram retirados do ar. A maioria dos sites foram restaurados em poucas horas.[1] O vice-secretário do NSDC, Serhiy Demedyuk, afirmou que a investigação ucraniana do ataque suspeita que os direitos de administração de uma empresa terceirizada foram usados para realizar o ataque. O software da empresa não-identificada era usado desde 2016 para desenvolver sites do governo, a maioria dos quais foi afetada no ataque.[6] Um ataque de malware destrutivo separado ocorreu na mesma época, aparecendo pela primeira vez em 13 de janeiro. Detectado pela primeira vez pelo Microsoft Threat Intelligence Center (MSTIC), o malware foi instalado em dispositivos pertencentes a "vários governos, organizações sem fins lucrativos e de tecnologia da informação" na Ucrânia.[7] Mais tarde, isso foi relatado para incluir o Serviço de Emergência do Estado e o Departamento de Seguro de Transporte Motorizado.[8] O software, designado DEV-0586 ou WhisperGate, foi projetado para se parecer com um ransomware, mas não possui um recurso de recuperação, indicando a intenção de simplesmente destruir arquivos em vez de criptografá-los para resgate.[7] O MSTIC relatou que o malware foi programado para ser executado quando o dispositivo de destino for desligado. O malware substituiria o registro mestre de inicialização (MBR) por uma nota de resgate genérica. Em seguida, o malware baixa um segundo arquivo .exe, que substituiria todos os arquivos com determinadas extensões de uma lista predeterminada, excluindo todos os dados contidos nos arquivos de destino. A carga útil do ransomware difere de um ataque de ransomware padrão de várias maneiras, indicando uma intenção exclusivamente destrutiva.[9] No entanto, avaliações posteriores indicam que os danos foram limitados, provavelmente uma escolha deliberada dos atacantes.[8] Reações ao ataque de janeiroRússiaA Rússia negou as alegações da Ucrânia de que estava ligada aos ataques cibernéticos.[10] UcrâniaInstituições governamentais ucranianas, como o Centro de Comunicações Estratégicas e Segurança da Informação e o Ministério das Relações Exteriores, sugeriram que a Federação Russa foi a perpetradora do ataque, observando que esta não seria a primeira vez que a Rússia atacaria a Ucrânia.[4] União EuropeiaO Alto Representante da União Europeia, Josep Borrell, disse sobre a origem do ataque: “Pode-se muito bem imaginar com certa probabilidade ou margem de erro, de onde pode vir”.[11] OTANO Secretário-Geral da OTAN, Jens Stoltenberg, anunciou que a organização aumentaria sua coordenação com a Ucrânia em ciberdefesa diante de possíveis ataques cibernéticos adicionais. A OTAN anunciou mais tarde que assinaria um acordo concedendo à Ucrânia acesso à sua plataforma de compartilhamento de informações de malware.[2][4] Ataque de 15 de fevereiroEm 15 de fevereiro, um grande ataque DDoS derrubou os sites do Ministério da Defesa, do Exército e dos dois maiores bancos da Ucrânia, PrivatBank e Oschadbank.[12] O monitor de segurança cibernética NetBlocks informou que o ataque se intensificou ao longo do dia, afetando também os aplicativos móveis e caixas eletrônicos dos bancos.[12] O The New York Times descreveu-o como "o maior ataque desse tipo na história do país". Autoridades do governo ucraniano afirmaram que o ataque provavelmente foi realizado por um governo estrangeiro e sugeriram que a Rússia estava por trás dele.[3] Embora houvesse temores de que o ataque de negação de serviço pudesse ser coberto por ataques mais sérios, uma autoridade ucraniana disse que nenhum ataque desse tipo foi descoberto.[8] De acordo com o governo do Reino Unido[13] e com o Conselho de Segurança Nacional dos EUA, o ataque foi realizado pelo Departamento Central de Inteligência (GRU). A autoridade americana de segurança cibernética Anne Neuberger afirmou que a infraestrutura GRU conhecida foi notada transmitindo grandes volumes de comunicações para endereços e domínios IP baseados na Ucrânia.[14] O porta-voz do Kremlin, Dmitry Peskov, negou que o ataque tenha se originado da Rússia.[15] Ataque de 23 de fevereiroUm terceiro ataque DDoS derrubou vários sites do governo, militares e bancos ucranianos. Embora os sites militares e bancários tenham sido descritos como tendo “uma recuperação mais rápida”, o site da SBU ficou offline por um longo período.[16] Pouco antes das 17h, um malware de limpeza de dados foi detectado em centenas de computadores pertencentes a várias organizações ucranianas. A ESET Research apelidou o malware de HermeticWiper, nomeado por seu certificado de assinatura de código genuíno da empresa Hermetica Digital Ltd, com sede em Chipre. O limpador foi compilado em 28 de dezembro de 2021, o que implica que o ataque havia sido planejado com meses de antecedência.[17] Um dia antes do ataque, a União Europeia havia implantado uma equipe de resposta rápida cibernética composta por cerca de dez especialistas em segurança cibernética da Lituânia, Croácia, Polônia, Estônia, Romênia e Holanda. Não se sabe se essa equipe ajudou a mitigar os efeitos do ataque cibernético.[18] O ataque coincidiu com o reconhecimento russo das regiões separatistas no leste da Ucrânia e a autorização do envio de tropas russas para lá. Os EUA e o Reino Unido culparam a Rússia pelo ataque. A Rússia negou as acusações e os chamou de “russofóbicos”.[16] Referências
|