EUA acusam hackers russos do GRU por intrusões no WhisperGate
Os EUA acusaram hoje cinco oficiais de inteligência militar russos e um civil por seu envolvimento na campanha de limpeza de dados WhisperGate conduzida contra a Ucrânia em janeiro de 2022, antes do início da invasão terrestre.
Juntamente com as acusações, os federais também ofereceram uma Recompensa de US$ 10 milhões para obter informações sobre o paradeiro de cada um dos seis homens e, junto com outros nove países, divulgou um aviso de segurança cibernética de 36 páginas sobre os esforços de invasão de rede dos russos, que as agências governamentais alegam estar em andamento desde pelo menos 2020.
Embora nenhum dos seis acusados esteja em solo americano, o que torna improvável que criminosos sejam absolvidos tão cedo, o agente especial encarregado do FBI, William DelBagno, prometeu que “há medidas que serão tomadas… para concretizar essa acusação”.
Falando em uma coletiva de imprensa na quinta-feira, o agente especial do FBI no Escritório de Campo de Baltimore disse que os policiais dos EUA fizeram uma parceria com a Interpol “para emitir alertas vermelhos e garantir que, se estiverem em um local que pode ser afetado, eles os enfrentarão”.
De acordo com a acusação [PDF]Vladislav Borovkov, Denis Denisenko, Yuriy Denisov, Dmitriy Goloshubov e Nikolay Korchagin, todos oficiais da Unidade 29155 da Diretoria Principal de Inteligência Russa (GRU), conspiraram com o cidadão russo Amin Stigal e outros para invadir dezenas de computadores do governo ucraniano antes da invasão terrestre russa e, em seguida, apagar todos os dados — ou destruir completamente — essas máquinas, fazendo com que parecesse uma infecção de ransomware.
Este ciberataque, que desde então foi apelidado de Portão Sussurrante“poderia ser considerado o primeiro tiro da guerra”, disse DelBagno.
Depois de infectar sistemas de computador em agências governamentais responsáveis por serviços de emergência, segurança alimentar, educação e outros alvos não militares, os agentes do GRU roubaram e vazaram dados pessoais pertencentes a milhares de cidadãos ucranianos, “buscando minar o moral do público ucraniano”, disse o procurador-geral adjunto dos EUA para Segurança Nacional, Matthew Olsen, aos repórteres.
A tripulação apoiada pelo Kremlin também “provoca[ed] essas vítimas” e “tentaram esconder seus rastros fingindo ser criminosos envolvidos em ataques de ransomware, deixando para trás notas de resgate exigindo pagamentos em Bitcoin para devolver dados dos sistemas das vítimas, dados que os perpetradores sabiam que já haviam sido destruídos e não poderiam ser recuperados”, disse Olsen.
De acordo com os documentos judiciais, o GRU também teve como alvo sistemas de computadores nos EUA e em outros 25 países da OTAN que estavam fornecendo suporte à Ucrânia.
Juntamente com a acusação e o prêmio total de US$ 60 milhões do Rewards for Justice, o FBI, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e a Agência de Segurança Nacional (NSA), juntamente com outras 15 agências dos EUA e parceiros internacionais no Reino Unido, Canadá, Austrália, Ucrânia, Holanda, República Tcheca, Alemanha, Estônia e Letônia, emitiram um comunicado conjunto muito detalhado sobre segurança cibernética sobre a Unidade 29155 do GRU. [PDF].
Até o momento, o FBI documentou mais de 14.000 ocorrências de varredura de domínio em pelo menos 26 membros da OTAN e outros países da União Europeia, segundo nos disseram.
Os ciberespiões de Moscou usam ferramentas disponíveis publicamente para escanear portas de internet abertas e vulnerabilidades. Quando encontram redes vulneráveis, a Unidade 29155 começa a trabalhar obtendo código de exploração CVE de repositórios do GitHub para usar contra a infraestrutura da vítima, de acordo com o aviso.
Alguns dos CVEs que o grupo explorou com sucesso para obter acesso inicial incluem: CVE-2021-33044 e CVE-2021-33045 no software Dahua Security, CVE-2022-26134 e CVE-2022-26138 no Atlassian Confluence Server e Data Center e CVE-2022-3236 no firewall da Sophos.
Unidade 29155 Os espiões cibernéticos gostam de usar VPNs para tornar suas atividades anônimas.
Também é comum que a equipe, depois de escanear e encontrar dispositivos IoT vulneráveis, use scripts de exploração para autenticar câmeras IP com nomes de usuário e senhas padrão. “Tentativas são feitas para executar comandos remotos via web para câmeras IP vulneráveis; se bem-sucedidas, os atores cibernéticos despejariam as configurações e credenciais em texto simples”, alertam as agências.
Por isso, eles também forneceram uma lista de três coisas que os defensores da rede devem fazer o mais rápido possível para evitar se tornarem a próxima organização vítima dos russos:
- Priorize atualizações de rotina do sistema e corrija vulnerabilidades exploradas conhecidas.
- Segmente redes para evitar a disseminação de atividades maliciosas.
- Habilite a autenticação multifator (MFA) resistente a phishing para todos os serviços de conta voltados para o exterior, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos.
“Os seis russos nesta acusação não são gênios cibernéticos avançados”, disse DelBagno, acrescentando que eles “são hábeis em explorar vulnerabilidades contra as quais países e empresas podem se proteger com medidas simples”.
As acusações criminais e o alerta de segurança de hoje seguem as de ontem ataque de ações tomadas pelo Tio Sam para combater o que os EUA dizem ser tentativas da Rússia de influenciar a próxima eleição presidencial.
Isso incluiu a apreensão de 32 sites e a acusação de dois funcionários de um meio de comunicação estatal ligados a um esquema de US$ 10 milhões para distribuir propaganda pró-Kremlin. ®