O panorama da cibersegurança agravou-se com a guerra entre a Rússia e a Ucrânia, tendo sido registados aumentos muito significativos dos ataques contra a Ucrânia e países da NATO. A conclusão é feita pelo grupo de análises de ameaças da Google (TAG), pela empresa de cibersegurança Mandiant e pela equipa da tecnológica focada na área de confiança e segurança e publicada esta quinta-feira no estudo “Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape”. Em português, pode ser traduzido para “Nevoeiro da guerra: como o conflito na Ucrânia transformou o panorama das ciberameaças”.
Os ataques dirigidos contra utilizadores na Ucrânia aumentaram 250% em 2022 face à base de 2020. Não são revelados números concretos destes incidentes, mas é especificado que incluem utilizadores do Gmail e também contas com um domínio .gov, por exemplo “@gov.ua”. Ao longo de 2022, os agentes maliciosos ligados à Rússia tiveram como alvo muitas organizações militares e diplomáticas ucranianas, com especial ênfase para os Ministérios da Defesa e Negócios Estrangeiros e a Agência Nacional para Serviço Civil da Ucrânia.
E, embora os países da NATO já fossem um dos principais alvos de grupos de cibercriminosos com ligações a Estados, a guerra na Ucrânia intensificou esses esforços. Em comparação com 2020, é estimado que os ataques russos contra utilizadores em países que pertencem à aliança tenham aumentado 300%.
A Mandiant, que foi comprada em 2022 por 5,4 mil milhões de dólares para ser integrada na Google Cloud, detetou só nos primeiros quatro meses de 2022 mais ataques destrutivos dirigidos à Ucrânia do que nos oito anos anteriores à invasão.
O estudo menciona diversos agentes responsáveis por estes incidentes de segurança, como o Frozenbarents, também conhecido por Sandworm, grupo que alegadamente tem ligação ao GRU, os serviços de informação da Rússia. É descrito como tendo os “operacionais mais versáteis”, associados a campanhas de phishing para obter credenciais, mas também a ataques contra fabricantes de drones na Turquia ou a infraestruturas críticas na Ucrânia, como a energia ou transportes. Já uma boa parte das campanhas de phishing dirigidas aos membros da NATO é atribuída ao grupo Pushcha, que alegadamente é apoiado pelo governo da Bielorrússia — um aliado da Rússia.
A Google explica que tem tentado interromper as campanhas de cibercrime apoiadas por governos que possam impactar utilizadores dos seus serviços, como no Gmail. A tecnológica explica que, quando são identificados sites ou domínios maliciosos, são adicionados à “Safe Browsing”, uma ferramenta que avisa os utilizadores quando um site pode ser perigoso. E, quando é considerado apropriado, podem ser feitos avisos aos utilizadores de Gmail e Workspace quando tiverem sido um alvo de alguma campanha.
A análise também se debruça sobre as operações de informação da Rússia, que têm como objetivo moldar a perceção pública da guerra. Moscovo recorreu a estas práticas em diversas ocasiões, tanto nos meios de comunicação ligados ao Estado como em plataformas e contas de acesso aberto. Existiam três objetivos claros: “desacreditar o governo ucraniano; fraturar o apoio internacional à Ucrânia e manter o apoio doméstico à Rússia”. O grupo de ameaças da Google e a Mandiant concluíram que estas operações feitas pela Rússia em 2022 estiveram principalmente ligadas à audiência doméstica e que tiveram picos de atividade em alguns períodos, nomeadamente na antecipação da invasão, nos primeiros momentos do conflito e no movimento de mobilização das tropas russas.
A Google diz que, em 2022, detetou 1.950 casos destas operações de informação nas próprias plataformas, nomeadamente no YouTube e em blogs. Os maiores números coincidiram com o período mais intenso destas atividades em fevereiro (444) e em novembro (790) do ano passado. A IRA, a russa Internet Research Agency que interferiu nas eleições dos EUA de 2016, teve um forte papel nestas operações que difundiram narrativas de propaganda, concluiu esta análise. Também é enumerada a participação da empresa de consultora Krymskybridge, que tem ligações ao governo russo, ou de grupos afiliados com a inteligência russa, como a ANNA News ou a News Front.
Esta investigação refere que, nestas operações de informação, eram difundidas narrativas pró-russas e anti-Ucrânia. Nos casos em que o alvo era a audiência estrangeira, foram encontradas publicações em francês, árabe, chinês, búlgaro, alemão, inglês ou ucraniano. Ainda assim, as operações de informação em outros idiomas além do russo representaram apenas 6,9% dos casos detetados pelas equipas da Google e da Mandiant.
Guerra continuará a ter implicações na cibersegurança a nível global
Os especialistas concluíram que a invasão desencadeou uma mudança notável no ecossistema de cibercriminalidade na Europa Oriental, que “provavelmente terá implicações a longo prazo ao nível da coordenação entre grupos criminosos e também ao nível da escala do cibercrime em todo o mundo.”
As equipas da Google e da Mandiant antecipam, “com um elevado grau de confiança”, que os padrões detetados ao longo de 2022 vão continuar este ano. Os ataques patrocinados pelo governo russo vão continuar a ser dirigidos contra a Ucrânia e membros da NATO, para “expandir os objetivos estratégicos russos”.
Também é antecipado que Moscovo aumente “os ataques disruptivos e destrutivos para responder a desenvolvimentos” na frente de batalha. Isso pode acontecer em situações em que existam “baixas de militares, novos compromissos estrangeiros para disponibilização de apoio político ou militar, etc”, prevêem os especialistas de segurança.
Os especialistas antecipam com alguma confiança que a Rússia possa vir a aumentar o ritmo e o âmbito das operações de informação para atingir os seus objetivos, mas têm mais dificuldade em perceber se essas ações vão ter o impacto desejado ou se “simplesmente vão endurecer a oposição contra a agressão russa ao longo do tempo”.
Há uma guerra de hackers no Telegram. Recrutam “espiões” e vazam informação da Rússia e da Ucrânia
