Uma empresa com sede em Moscou sancionada pelos EUA no início deste ano foi vinculada a mais uma operação de influência projetada para virar a opinião pública contra a Ucrânia e erodir o apoio do Ocidente desde pelo menos dezembro de 2023.
A campanha secreta conduzida pela Social Design Agency (SDA) utiliza vídeos aprimorados usando inteligência artificial (AI) e sites falsos que se passam por fontes confiáveis de notícias para atingir públicos na Ucrânia, Europa e EUA.
Ela foi apelidada de Operação Undercut pelo Insikt Group da Recorded Future.
"Esta operação, correndo em paralelo com outras campanhas como Doppelganger, é projetada para desacreditar a liderança da Ucrânia, questionar a eficácia da ajuda do Ocidente e instigar tensões sociopolíticas," disse a empresa de cibersegurança.
A campanha também busca moldar narrativas em torno das eleições de 2024 nos EUA e conflitos geopolíticos, como a situação Israel-Gaza, para aprofundar divisões.
A Social Design Agency já foi anteriormente atribuída ao Doppelganger, que também emprega contas de redes sociais e uma rede de sites de notícias inautênticos para influenciar a opinião pública.
A empresa e seus fundadores foram sancionados pelos EUA em março deste ano, juntamente com outra empresa russa conhecida como Structura.
A Operação Undercut compartilha infraestrutura tanto com o Doppelganger quanto com a Operação Overload (também conhecida como Matryoshka e Storm-1679), uma campanha de influência alinhada à Rússia que tentou minar as eleições francesas de 2024, as Olimpíadas de Paris e a eleição presidencial dos EUA usando uma combinação de sites falsos de notícias, recursos falsos de verificação de fatos e áudio gerado por AI.
A campanha mais recente não difere na medida em que explora a confiança que os usuários depositam em marcas de mídia confiáveis e utiliza vídeos e imagens impulsionados por AI que imitam fontes de mídia para lhe conferir mais credibilidade.
Não menos que 500 contas abrangendo várias plataformas de redes sociais, como o 9gag e America’s best pics and videos, foram usadas para amplificar o conteúdo.
Além disso, a operação foi encontrada usando hashtags de tendência nos países e idiomas visados para alcançar um público maior, bem como promover conteúdo de CopyCop (também conhecido como Storm-1516).
"A Operação Undercut faz parte de uma estratégia mais ampla da Rússia para desestabilizar alianças ocidentais e retratar a liderança da Ucrânia como ineficaz e corrupta," disse a Recorded Future.
Ao direcionar audiências na Europa e nos EUA, a SDA procura amplificar o sentimento anti-Ucrânia, esperando reduzir o fluxo de ajuda militar ocidental para a Ucrânia.
A revelação acontece enquanto o ator de ameaças vinculado à Rússia, APT28 (também conhecido como GruesomeLarch), foi observado violando uma empresa dos EUA no início de fevereiro de 2022 através de uma técnica incomum chamada ataque nearest neighbor, que envolveu inicialmente comprometer uma entidade diferente localizada em um prédio adjacente dentro do alcance do Wi-Fi do alvo.
O objetivo final do ataque direcionado à organização, que ocorreu logo antes da invasão da Ucrânia pela Rússia, era coletar dados de indivíduos com expertise em projetos ativamente envolvendo a nação.
"GruesomeLarch foi capaz, em última análise, de violar a rede [da organização] ao se conectar à sua rede Wi-Fi empresarial," disse a Volexity.
O ator de ameaças conseguiu isso encadeando sua abordagem para comprometer múltiplas organizações em proximidade com seu alvo pretendido.
Diz-se que o ataque foi realizado realizando ataques de password-spray contra um serviço voltado ao público na rede da empresa para obter credenciais sem fio válidas, e aproveitando o fato de que a conexão à rede Wi-Fi empresarial não exigia autenticação multifatorial.
A estratégia, segundo a Volexity, era violar a segunda organização localizada do outro lado da rua do alvo e usá-la como um conduto para mover lateralmente através de sua rede e, finalmente, conectar-se à rede Wi-Fi da empresa pretendida fornecendo as credenciais previamente obtidas, enquanto estavam a milhares de quilômetros de distância.
"A comprometimento dessas credenciais por si só não concedeu acesso ao ambiente do cliente, uma vez que todos os recursos voltados para a internet exigiam o uso de autenticação de múltiplos fatores," disseram Sean Koessel, Steven Adair e Tom Lancaster.
No entanto, a rede Wi-Fi não estava protegida por MFA, significando que a proximidade com a rede alvo e credenciais válidas eram os únicos requisitos para conectar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...