O grupo de análise de ameaças do Google (TAG) tem monitorado e interrompido ataques cibernéticos apoiados pelo estado russo que visam a infraestrutura crítica da Ucrânia em 2023.
De acordo com o Google, de janeiro a março de 2023, a Ucrânia recebeu cerca de 60% dos ataques de phishing originados da Rússia, tornando-se o alvo mais proeminente.
Na maioria dos casos, os objetivos da campanha incluem coleta de inteligência, interrupções operacionais e vazamento de dados sensíveis por meio de canais do Telegram dedicados a causar danos à informação da Ucrânia.
A TAG do Google lista três atores de ameaças russos e bielorrussos que tiveram atividade notável no primeiro trimestre do ano contra alvos ucranianos.
O primeiro é Sandworm, rastreado pelo Google como "FrozenBarents", que tem focado seus ataques no setor de energia em toda a Europa desde novembro de 2022, com um caso destacado envolvendo o Consórcio do Oleoduto do Cáspio (CPC).
Sandworm lançou várias campanhas de phishing usando sites falsificados do "Ukroboronprom" contra trabalhadores da indústria de defesa ucraniana, usuários da plataforma Ukr.net ou até mesmo canais do Telegram ucraniano.
O grupo de ameaças também cria várias personas online para disseminar informações falsas no YouTube e Telegram, muitas vezes vazando partes dos dados que roubam por meio de phishing ou intrusões na rede.
Outro ator de ameaças russo altamente ativo é APT28, rastreado pelo Google como "FrozenLake".
Entre fevereiro e março de 2023, o APT28 enviou várias ondas grandes de e-mails de phishing visando ucranianos.
Os hackers também usaram cross-site scripting (XSS) refletido em sites do governo ucraniano para redirecionar os visitantes para páginas de phishing.
Nesta semana, um anúncio conjunto do NCSC do Reino Unido, FBI, NSA e CISA alertou que o APT28 está hackeando roteadores Cisco para instalar malware personalizado.
O terceiro ator de ameaças destacado no relatório do Google é "Pushcha", que se acredita estar baseado na Bielorrússia, um país politicamente alinhado com o Kremlin.
Pushcha lançou recentemente campanhas que visam os provedores de webmail ucranianos como "i.ua" e "meta.ua", tentando roubar as credenciais dos usuários configurando sites falsos.
O relatório do Google também destaca casos de desinformação em suas plataformas, como YouTube e Blogger.
"No primeiro trimestre de 2023, a TAG observou uma campanha IO coordenada de atores afiliados à Internet Research Agency (IRA) criando conteúdo em produtos do Google, como o YouTube, incluindo comentar e votar nos vídeos uns dos outros", diz o relatório da TAG do Google.
A IRA (Glavset) é uma empresa russa ligada ao dono do Wagner Group, Y. Prigozhin, que se engaja em propaganda online e operações de influência em nome dos interesses políticos russos.
O Google relata que tem observado e bloqueado contas vinculadas à IRA criando conteúdo no YouTube Shorts para promover narrativas "noticiosas" específicas sobre a guerra na Ucrânia para o público doméstico russo.
Todos os sites vinculados às campanhas mencionadas foram adicionados à lista de bloqueio de navegação segura do Google, enquanto os usuários do Gmail e do Workspace foram alertados sobre as comunicações maliciosas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...