Os ciberataques como meio de guerra
Sophos Sophos, Cyber Threat, Cyberangriffe
Tendo em conta o destacamento de tropas russas para a fronteira com Ucrânia e ataques de negação de serviço (DDoS) distribuídos esporadicamente perturbar esporadicamente os sites do governo ucraniano e os serviços financeiros fala-se muito em estar preparado para os conflitos cibernéticos, quer eles sejam se há ou não uma guerra real. Embora todas as empresas devam estar sempre preparadas para ataques de todas as direcções, elas devem de todas as direcções. Mas pode ser útil para saber o que procurar quando o risco de ataque aumenta. Optei por fornecer uma história do conhecido ou As actividades conhecidas ou suspeitas do Estado russo no ambiente cibernético. ambiente cibernético e para avaliar que tipos de actividades esperar e como ou como as organizações podem ser preparadas para eles.
Ataques desestabilizadores de negação de serviço
A primeira actividade conhecida remonta a 26 de Abril de 2007.
quando o governo estónio destruiu uma estátua comemorativa da libertação de
A libertação da Estónia dos nazis pela União Soviética.
local de destaque. Esta acção enfureceu os estonianos de língua russa
População estoniana e relações desestabilizadas com Moscovo. Em breve
motins nas ruas, protestos em frente à embaixada da Estónia em Moscovo e
Embaixada da Estónia em Moscovo, e uma onda de DDoS-Angriffen auf estnische Regierungs- e
e sítios web de serviços financeiros. Ferramentas totalmente preparadas e
instruções sobre como participar em ataques DDoS apareceram em russo
fóruns quase imediatamente após a mudança da estátua. Estes ataques
foram dirigidas contra os sítios web do presidente, do parlamento, da polícia
polícia, partidos políticos e grandes órgãos de comunicação social.
Embora outros "patriotas russos" tenham sido chamados a ajudar no Estónia, mas este não foi um movimento de base*. um movimento de base* que surgiu do nada com ferramentas e uma lista de alvos. vindos do nada. A mesma táctica foi mais tarde utilizada por Anonymous em defesa do Wikileaks, utilizando uma ferramenta chamada Low Orbit Ion Canon (LOIC) foi utilizado. Em 4 de Maio de 2007, os ataques intensificaram-se e, adicionalmente os ataques intensificaram-se e adicionalmente visaram os bancos. Exactamente sete dias mais tarde, à meia-noite, os ataques terminaram tão abruptamente como tinham começado. Todos culparam imediatamente a Rússia, mas a Rússia está quase impossível de atribuir ataques de negação de serviço distribuídos. É agora amplamente acreditado que estes ataques DDoS eram o trabalho do Russian Business Network (RBN) foram o trabalho de um notório grupo de crime organizado em Rússia com links para spamming, botnets e farmacêutico programas de afiliação. Os seus serviços foram aparentemente "utilizados" durante exactamente uma semana "empenhados" em levar a cabo estes ataques.
A 19 de Julho de 2008, uma nova onda de ataques DDoS começou, visando contra notícias e websites governamentais na Geórgia. Estes os ataques intensificaram-se misteriosamente de forma dramática em 8 de Agosto de 2008, quando 2008, quando as tropas russas invadiram a província separatista de Província da Ossécia do Sul. Os ataques foram inicialmente dirigidos contra georgische Nachrichten- und Regierungsseiten, mais tarde contra instituições financeiras, empresas, instituições de ensino, meios de comunicação social ocidentais e um sítio web georgiano de hacking. Estónia, apareceu um sítio web com uma lista de alvos e uma série de objectivos e um conjunto de ferramentas com instruções sobre como utilizá-los. Mais uma vez, houve uma tentativa de atribuir os ataques aos "patriotas", que estavam a resistir à agressão georgiana. Mas a maior parte dos do tráfego de ataque real veio de uma grande rede conhecida, presumivelmente botnet que se crê ser controlado por RBN.
Defacement digital e spam
Os ataques à Geórgia incluíram também o desfavorecimento do website e
websites e campanhas maciças de spam para entupir as caixas de entrada georgianas.
Caixas de entrada georgianas. Tudo isto aparentemente serviu para
na capacidade da Geórgia para se defender e governar a si própria.
para se defender e governar a si própria, e para impedir o governo de comunicar
de comunicar eficazmente com os seus cidadãos e o mundo exterior. Menos de um ano depois.
do que um ano mais tarde, em Janeiro de 2009, outra série de
Os ataques DDoS começaram no Quirguizistão. Isto aconteceu ao mesmo tempo que o
O governo quirguize estava a decidir se renovava o arrendamento de um
Base aérea dos EUA no seu país. Uma coincidência? Parecia
que a acção foi novamente levada a cabo pelo RBN, mas desta vez
não foi um estratagema de "patriotas" que expressaram a sua opinião digital.
expressão.
Desinformação e isolamento
Isto leva-nos ao mais recente conflito cinético, o
Crimea em 2014. Desde 2009, tem sido travada uma guerra de informação de baixo nível contra a Ucrânia.
tem sido travada a um nível baixo contra a Ucrânia, com muitos ataques a coincidirem com
coincidir com eventos que possam ser interpretados como uma ameaça aos interesses russos, tais
interesses, tais como uma cimeira da NATO e negociações entre a Ucrânia e o
e negociações entre a Ucrânia e a UE sobre um acordo de associação.
2014, o New York Times relatou que o software malicioso tinha “Snake” in das Büro des ukrainischen Premierministers
e várias embaixadas remotas tinham sido penetradas quando protestos anti-governamentais na Ucrânia
começaram os protestos anti-governamentais. Perto do final de 2013 e
no início de 2014, a ESET também publicou investigação,
documentando ataques a alvos militares e meios de comunicação social, referidos como "Operation Potao Express".
Tal como antes, um grupo cibernético de origem local chamou o
grupo cibernético chamado "Cyber Berkut" levou a cabo ataques DDoS e defacções web sem causar
mas sem causar quaisquer danos importantes. Causou, no entanto, grandes
confusão, e isso só por si tem um impacto em tempos de conflito.
No início do conflito, soldados sem insígnias assumiram o As redes de telecomunicações da Crimea e o único centro de Internet na região. hub da Internet na região e causou um congelamento da informação. blackout de informação. Os atacantes abusaram do seu acesso ao rede para identificar manifestantes anti-russos e enviar-lhes mensagens de texto e enviar-lhes mensagens SMS a dizer: "Caro assinante, você é está registado como participante num motim de massas. Depois de isolar a capacidade de comunicação da Crimea, os atacantes manipularam a rede. A capacidade de comunicação da Crimea, os atacantes também manipularam os telemóveis de membros do parlamento ucraniano e impediu-os de responder à invasão. Como Military Cyber Affairs mencionadas, as campanhas de desinformação estavam em pleno andamento: "Em um caso, a Rússia pagou a uma única pessoa para ter várias web diferentes identidades web. Um actor em São Petersburgo declarou que quando três bloggers diferentes com dez blogs, ao mesmo tempo que comentam outros sites. comentando em outros sítios web. Outra pessoa foi empregada comentar as notícias e os meios de comunicação social 126 vezes cada 12 horas. a comentar".
Electricidade de Crippling
Em 23 de Dezembro de 2015, a electricidade foi abruptamente cortada a cerca de metade dos residentes de
Ivano-Frankivsk (Ucrânia) teve a sua electricidade cortada abruptamente. É geralmente
que este foi o trabalho de hackers russos apoiados pelo Estado.
hackers. Os primeiros ataques começaram mais de sechs Monate
antes do apagão, quando os empregados em três centros de distribuição de energia
abriu um documento infectado do Microsoft Office contendo uma macro que era suposto
malware chamado BlackEnergy, e os atacantes conseguiram obter remotos
dados de acesso remoto para a rede de Controlo de Supervisão e Aquisição de Dados (SCADA).
e Aquisição de Dados) e assumir o controlo dos controlos da subestação.
controlo dos controlos da subestação para abrir os disjuntores.
disjuntores abertos. Em seguida, interferem com os comandos à distância, a fim de
impedir que os disjuntores sejam fechados para restaurar a energia.
restaurar a energia. Além disso, os atacantes utilizados
utilizou um "limpa pára-brisas" para destruir os computadores utilizados para controlar a rede, ao mesmo tempo que
computadores utilizados para controlar a rede e, ao mesmo tempo, efectuava um telefone
ataque de negação de serviço (TDoS) através da inundação do serviço ao cliente
números de serviço ao cliente, frustrando os clientes que tentaram comunicar as interrupções.
frustrar os clientes que tentaram denunciar as interrupções.
Quase um ano mais tarde, a 17 de Dezembro de 2016, as luzes apagaram-se de novo em Kiev. As luzes apagaram-se de novo. Uma coincidência? Provavelmente não. Desta vez a O responsável pelo malware chamava-se Industroyer/CrashOverride e era weitaus ausgefeilter. O malware estava equipado com componentes modulares que podiam analisar o rede para encontrar os controladores SCADA e poder falar os seus língua. Tinha também um componente de limpador de pára-brisas para apagar o sistema. Limpar o sistema. O ataque não parecia ser possível nem com o BlackEnergy nem com ou a conhecida ferramenta Wiper KillDisk, mas não havia dúvida de quem estava por detrás dela. não havia dúvida de quem estava por detrás dele.
Divulgação por e-mail
Em Junho de 2016, durante a campanha eleitoral presidencial de encerramento
entre Hillary Clinton e Donald Trump, entrou em cena uma nova figura chamada Guccifer 2.0
que afirmou ter invadido o Comité Nacional Democrático e ter
e divulgou os seus e-mails para o Wikileaks. Embora isto
não atribuído oficialmente à Rússia, veio à tona juntamente com outras desinformações
campanhas de desinformação durante as eleições de 2016 e acredita-se que tenham sido
acreditou-se amplamente que o Kremlin estava por detrás disso.
Ataques à cadeia de abastecimento: NãoPetya
Os ataques persistentes da Rússia à Ucrânia ainda não foram
e, em 27 de Junho de 2017, agravaram a situação quando
lançou um novo malware chamado NotPetya.
NotPetya foi disfarçado de um novo software de resgate e foi distribuído através de um hacked
cadeia de fornecimento de um fornecedor de software de contabilidade ucraniano.
fornecedor de software de contabilidade. Na realidade, porém, não se tratava de qualquer tipo de resgate.
Encriptava um computador, mas não podia ser desencriptado, de forma eficaz.
limpar eficazmente o dispositivo e torná-lo inutilizável.
As vítimas foram nicht auf ukrainische Unternehmen
limitado. O malware espalhou-se por todo o mundo em poucas horas.
a nível mundial em poucas horas, afectando principalmente as organizações que operam no
Ucrânia, onde foi utilizado o software de contabilidade booby-trapped.
Estima-se que NotPetya tenha causado pelo menos
estimado em ter causado pelo menos 10 mil milhões de dólares de danos em todo o mundo.
tem.
Sob uma falsa bandeira
Com a abertura dos Jogos Olímpicos de Inverno de PyeongChang, a 9 de Fevereiro.
2018, estava iminente outro ataque que tinha o mundo em pulgas.
mundo em garfos de tenda. O ataque de malware derrubou todos os controladores de domínio através do
e impediu tudo desde a rede Wi-Fi até à emissão de bilhetes
tudo, desde o Wi-Fi aos balcões de bilheteira para funcionar correctamente.
Milagrosamente, a equipa de TI conseguiu isolar a rede,
restaurou o malware e removeu-o dos sistemas de modo a que na manhã seguinte
para que na manhã seguinte tudo estivesse novamente a funcionar, sem um único erro.
Depois era altura de executar uma análise de malware,
para descobrir quem estava a tentar atacar e fechar
aleijar toda a rede olímpica. Atribuir malware é difícil, mas houve
algumas pistas que poderiam ser úteis, ou eram falsas pistas que apontavam
pistas falsas que supostamente apontavam para um terceiro não envolvido.
As "provas" pareciam apontar para a Coreia do Norte e para a China, mas era quase
era quase óbvio demais para culpar a Coreia do Norte. No final
Igor Soumenkov, da Kaspersky Lab, com um brilhante trabalho de detective.
encontrou uma pista quente que apontava directamente para Moscovo.
Alguns anos mais tarde, pouco antes das férias no final de 2020, um foi revelado que o ataque à cadeia de abastecimento visava o SolarWinds O software Orion, que é utilizado para gerir o infra-estruturas de rede de grandes e médias empresas em torno do mundo, incluindo muitas agências federais dos EUA. O Os mecanismos de actualização do software foram desviados e utilizados para instalar uma porta traseira. A proeminência das vítimas em ligação com o combinado com o acesso fornecido pela porta traseira sub-repticiamente instalada, torna isto a porta traseira torna este ataque potencialmente um dos maiores e mais os ataques de espionagem cibernética mais prejudiciais da história moderna. Os E.U.A. Federal Bureau of Investigation (FBI), a Ciber-segurança e Agência de Segurança das Infra-estruturas (CISA), o Gabinete do Director de Inteligência Nacional (ODNI), e a Agência Nacional de Segurança (NSA) emitiram uma declaração conjunta afirmando que as suas investigações indicam que as investigações indicam que: "...um Persistente Avançado O actor da ameaça, provavelmente de origem russa, é responsável pela maioria ou recentemente descobertos ciberataques em curso contra o governo e as ONG redes governamentais e não governamentais. Neste momento assumimos que isto é, e continuará a ser, uma inteligência Acção e continuará a fazê-lo".
O conflito cibernético russo em 2022
Em 2022, as tensões ciberpolíticas estão de novo a aumentar
e estão à beira de se desintegrarem. Nos dias 13 e 14 de Janeiro de 2022, numerosos
Os websites do governo ucraniano foram deformados e os sistemas foram comprometidos
foram infectados com malware disfarçados de ransomware.
Os componentes destes ataques fazem lembrar o passado.
o malware não era um programa de resgate, mas apenas um ausgeklügelten Wiper,
como também foi utilizado nos ataques NotPetya. Além disso
muitos trilhos falsos foram deixados para trás, o que sugere que foi obra de ucranianos,
que poderia ser o trabalho de dissidentes ucranianos ou partidários polacos.
Distrair, confundir, negar e tentar dividir parece ser agora o padrão
Na terça-feira, 15 de Fevereiro de 2022, realizou-se uma conferência de imprensa no
15 de Fevereiro de 2022, foi lançada uma série de ataques DDoS contra a Ucrânia
websites governamentais e militares, bem como três dos maiores da Ucrânia
bancos foram lançados. Num movimento sem precedentes, o Weiße Haus bereits einige Geheimdienstinformationen freigegeben e atribuiu os ataques ao GRU russo.
O livro de jogo russo para a guerra cibernética
O que se segue? Independentemente de a situação se agravar ainda mais, a
As operações cibernéticas irão certamente continuar. Desde a queda de
Viktor Yanukovych em 2014, a Ucrânia tem sido submetida a uma barragem constante de
de ataques, com vários graus de altos e baixos.
A "Doutrina Militar da Federação Russa" oficial da Rússia de 2010
Federation" de 2010 diz: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." Isto aponta para um
continuação de comportamentos pré-conflito anteriores e faz
O DDoS ataca um sinal potencial de uma resposta cinética iminente.
A guerra da informação é uma forma de o Kremlin tentar influenciar a
tentativa de orientar a resposta do resto do mundo às acções na Ucrânia
pistas falsas, atribuições falsas, comunicação perturbada e
mapeamentos, comunicações perturbadas e a manipulação dos meios de comunicação social
são todos componentes importantes da Rússia
conceito de guerra da informação. Não precisam de criar uma cobertura permanente para
actividades no terreno ou noutro local, mas apenas para criar o suficiente
atraso, confusão e contradição suficientes para permitir outras operações simultâneas
operações simultâneas podem alcançar os seus objectivos.
Preparar e proteger
Curiosamente, os Estados Unidos e a
O Reino Unido está a tentar antecipar algumas das campanhas de desinformação, que
o que poderia limitar a sua eficácia. No entanto, deveríamos
não deve assumir que os atacantes vão parar de tentar, por isso precisamos de permanecer
por isso devemos permanecer preparados e vigilantes.
Por exemplo, organizações em países vizinhos A Ucrânia deve estar preparada para ser arrastada para esquemas em linha, mesmo que não sejam directamente mesmo que não operem directamente na Ucrânia. Anteriormente ataques e desinformação vazaram para a Estónia, Polónia e outros países vizinhos Estónia, Polónia e outros estados vizinhos, mesmo que apenas como danos colaterais. De uma perspectiva global, devemos esperar ver uma série de uma série de "patriotas" freelancers na Rússia, ou seja criminosos de resgate, autores de phish e operadores de botnet, irão lutar com ainda mais agirá com ainda maior zelo do que o habitual contra alvos considerados como sendo contra a pátria. É improvável que a Rússia ataque directamente os membros da OTAN. A Rússia ataque directamente os membros da OTAN e arrisque a invocação de Artikel V risco. Os recentes gestos da Rússia para refrear os criminosos, feita pela Federação Russa e seus parceiros no A Comunidade de Estados Independentes (CEI), no entanto, é provável que venha a e, em vez disso, as ameaças irão multiplicar-se. as ameaças multiplicar-se-ão.
Embora a defesa em profundidade deva ser a coisa mais normal no mundo deve ser a coisa mais normal do mundo, é especialmente importante quando enfrentamos um aumento da frequência e gravidade dos ataques. O a desinformação e a propaganda atingirão em breve um pico, mas temos de ser mas temos de estar atentos, bater as escotilhas e manter a nossa monitorizar as nossas redes para qualquer coisa fora do normal como o os ciclos de conflito diminuem - mesmo que terminem em breve. Porque, como todos nós sabe, pode demorar meses a encontrar provas de uma intrusão digital relacionado com o conflito russo-ucraniano emerge.
Publicação original no blog por Jörg Schindler - Director de Relações Públicas Sénior da Sophos