A crescente preocupação com a segurança cibernética ganha novos contornos após uma recente pesquisa que revela como um grupo de hackers vinculado ao governo da Rússia, identificado como Secret Blizzard, tem utilizado ferramentas e infraestrutura desenvolvidas por grupos de cibercriminosos para realizar ataques direcionados ao setor militar da Ucrânia. A análise feita pela Microsoft, divulgada em um relatório na última quarta-feira, destaca a sofisticação e a abrangência dessas operações, elucubrando o modus operandi de um dos atores mais intrigantes e preocupantes do cenário atual de cibersegurança.

O relatório da Microsoft detalha uma campanha de hacking orquestrada pela Secret Blizzard, uma entidade que, conforme mencionado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), “é quase certamente subordinada ao Centro 18 do Serviço Federal de Segurança da Rússia (FSB)”. Outros especialistas em segurança também referem-se a esse grupo como Turla, estabelecendo uma ligação clara entre as atividades de espionagem cibernética e os interesses estratégicos da Rússia. Entre março e abril deste ano, a Secret Blizzard tentou invadir dispositivos associados ao exército ucraniano, utilizando uma botnet chamada Amadey, que é vendida em fóruns de hackers na Rússia.

Após uma investigação inicial, a Microsoft concluiu que a Secret Blizzard adquiriu acesso à Amadey, embora não esteja claro como isso ocorreu. As hipóteses levantadas incluem a compra do acesso como um serviço de malware, ou a própria invasão da botnet. De acordo com o estudo, a abordagem da Secret Blizzard em relação à espionagem cibernética envolve o uso deliberado de ferramentas de terceiros, como a Amadey, demonstrando uma estratégia bem arquitetada para estabelecer pontos de controle que sejam valiosos para suas operações de espionagem. “Secret Blizzard tem utilizado pontos de apoio de terceiros — seja por meio de acesso furtivo ou de compra — como um método específico e deliberado para estabelecer bases de espionagem,” explica o relatório.

Um dos principais objetivos dos hackers é evitar a detecção, como salientou Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft. Ele evidenciou que “usar ferramentas comuns permite que o ator da ameaça potencialmente esconda sua origem e torne a atribuição mais difícil”. Isso significa que, ao empregar ferramentas de fácil acesso geralmente utilizadas por cibercriminosos, eles conseguem operar nas sombras, dificultando o trabalho de investigação e rastreamento por parte das autoridades.

A botnet Amadey, conhecida por ser utilizada na instalação de mineradores de criptomoedas, também se revela eficaz nas mãos de agentes maliciosos em campanhas de hacking. Embora Microsoft acredite que os responsáveis pela Amadey sejam diferentes dos hackers da Secret Blizzard, a intersecção entre cibercrime e espionagem governamental se torna cada vez mais evidente. O foco nesta campanha concentrou-se em dispositivos relacionados ao exército e à Guarda de Fronteira da Ucrânia, com a Microsoft afirmando que essa é, ao menos, a segunda vez desde 2022 que a Secret Blizzard recorre a campanhas de cibercrime para facilitar sua entrada em sistemas ucranianos.

O potencial de coleta de informação da Secret Blizzard não se limita a uma única abordagem, pois seus alvos geralmente incluem “ministérios de relações exteriores, embaixadas, escritórios governamentais e departamentos de defesa em todo o mundo”, com um interesse notório em espionagem a longo prazo e coleta de inteligência. O estudo revelou que uma amostra do malware utilizado pela Secret Blizzard era projetada para reunir dados sobre o sistema da vítima, como nome do dispositivo e software antivírus instalado. Essa informação inicial serve como um passo para a eventual implantação de malwares adicionais.

Além disso, a Secret Blizzard demonstrou um interesse particular em dispositivos que utilizam o Starlink, o serviço de satélite da SpaceX, que tem sido fundamental nas operações do exército ucraniano na luta contra as forças invasoras russas. O uso de canais de comunicação eficazes e seguros é vital para as operações de um exército em tempos de conflito, mas a adaptação dos hackers às tecnologias modernas causa um alarme legítimo nas esferas de segurança cibernética.

A Microsoft expressou confiança de que a campanha de hacking foi realizada pela Secret Blizzard em parte porque os hackers utilizaram backdoors personalizados denominados Tavdig e KazuarV2, que, segundo a empresa, nunca haviam sido vistos sendo utilizados por outros grupos de cibercrime. Alienar o uso de ferramentas customizadas configura um nível de especialização e planejamento que eleva as suspeitas sobre a identidade do grupo envolvido.

Adicionalmente, relatórios publicados na semana passada pela Microsoft e pela Black Lotus Lab mostraram como a Secret Blizzard cooptou ferramentas e infraestrutura de um grupo de hacking de outro estado-nação para suas atividades de espionagem. Essa abordagem reflete uma tendência observada desde 2017, onde a Secret Blizzard aproveitou a infraestrutura de outros hackers, incluindo grupos iranianos e um grupo baseado no Cazaquistão, para atacar alvos militares e de inteligência em países como Afeganistão e Índia.

A falta de resposta do embaixador russo em Washington e do FSB a pedidos de comentários traz à tona a dificuldade de lidar com a realidade dessa guerra cibernética em constante evolução. A investigação e a vigilância em torno das operações de espionagem cibernética tornam-se cruciais em um mundo onde as fronteiras entre crime cibernético e espionagem estatal continuam a se dissolver.

Se você tem informações adicionais sobre hackers russos direcionados à Ucrânia ou outras operações de ciberespionagem, é possível entrar em contato com Lorenzo Franceschi-Bicchierai de maneira segura através do Signal ou Telegram. A Microsoft e outras entidades seguem vigilantes na proteção de informações em meio a um clima de crescente hostilidade virtual.

Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *