Conflito na Ucrânia é usado para esquemas de cibespionagem

Pelo menos três grupos de cibercriminosos mundiais estão a utilizar documentos sobre o conflito entre a Rússia e a Ucrânia para distribuir malware (software malicioso) para incitar as vítimas a cair em esquemas de espionagem informática, concluiu a equipa de investigação da Check Point Software Technologies. A multinacional israelita de cibersegurança traçou, num relatório enviado ao Jornal Económico (JE), o perfil dos hackers da El Machete, da Lyceum e da Sidewinder, tendo-se apercebido de que os ficheiros partilhados variam consoante a região do globo e o sector visado. Onde está o isco? Alegadas notícias ou informações de fontes oficiais sobre a guerra na Europa ou mesmo ofertas de trabalho, que na prática são documentos para retirar informação sensível de instituições governamentais, bancos e empresas de energia.

“Neste momento, estamos a ver uma variedade de campanhas APT [Advanced Persistent Threat ou Ameaça Persistente Avançada] que aproveitam a guerra para distribuir malware. As campanhas são altamente direcionadas e sofisticadas, focando-se em vítimas de instituições governamentais, entidades financeiras e sectores energéticos. No nosso relatório mais recente, perfilamos e trazemos exemplos de três grupos APT diferentes, oriundos de várias partes do mundo, que apanhámos a orquestrar campanhas de phishing direcionado”, começa por explicar Sergey Shykevich, manager do grupo Threat Intelligence da Check Point Software, no documento facultado ao JE. “Analisámos de perto o malware envolvido, e entre as capacidades encontramos desde o keylogging à captura de ecrã, e muito mais. Acredito vivamente que estas campanhas têm como motivação principal a ciberespionagem. As nossas descobertas revelam uma tendência clara em que o conflito Rússia-Ucrânia se tornou o tema de eleição dos grupos de cibercrime para ludibriar as vítimas”, afirma o especialista.

Os três grupos a que se refere – El Machete (Espanha ou América Latina), Lyceum (Irão) e Sidewinder (Índia, provavelmente) – utilizaram malware capaz de: aceder a tudo o que é digitado no teclado (o chamado “keylogging” na linguagem técnica), furtar credenciais (obter as credenciais armazenadas nos browsers do Chrome e Firefox), recolher ficheiros (ou informação sobre os ficheiros em cada disco, acedendo a nomes e tamanhos de ficheiros, permitindo o roubo de ficheiros específicos), fazer capturas de ecrã (logo, aceder a imagens privadas, aplicações em utilização ou mensagens), recolher dados da área de transferência e executar comandos.

O departamento de investigação da Check Point, a Check Point Research, dá como o exemplo o facto de, em meados de março, uma empresa israelita do sector energético, que não foi identificada recebeu um email de um endereço de um suposto remetente “inewsreporter” (ou seja, como se fosse um meio de comunicação social, com o assunto “Crimes de guerra russos na Ucrânia”. A mensagem eletrónica, que depressa se confundia com uma newsletter de um jornal conforme testemunhámos, continha algumas fotografias tiradas de meios de comunicação e um link para um artigo hospedado no domínio news-spot[.]live. O link levava o utilizador para um documento com o artigo do britânico “The Guardian” intitulado “Investigadores reúnem evidências de possíveis crimes de guerra russos na Ucrânia”. O mesmo domínio servia de endereço para alguns outros documentos maliciosos relacionados com a Rússia e com a guerra Rússia-Ucrânia, como uma cópia de um artigo de 2020 do The Atlantic Council sobre armas nucleares, e uma oferta de trabalho para um agente de segurança privada na Ucrânia, tal como relatam os investigadores.

Nota ainda para a estratégia do grupo de ciberespionagem El Manchete, que enviava emails de phishing direcionados a organizações financeiras em Nicarágua, com um ficheiro Word anexado cujo título era “Planos obscuros do regime neonazi na Ucrânia”. O documento continha um artigo escrito e publicado por Alexander Khokholikov, o embaixador russo em Nicarágua, que discutiu o conflito russo-ucraniano a partir da perspetiva do Kremlin. Por sua vez, o SideWinder utilizou como ‘minhoca’ para as vítimas um documento parecia advir do Instituto Nacional de Assuntos Marítimos da Universidade de Bahria em Islamabad, e apresentava como título “O impacto do conflito russo-ucraniano no Paquistão”. Ambos confirmam a tese de que, se os piratas já eram sofisticados, estão agora a ver no conflito uma forma de ser ainda mais.

Sergey Shykevich, manager de Threat Intelligence, deixa ainda uma proposta para estados e privados: “A minha recomendação para os governos, bancos e empresas energéticas é que reiterem com as suas equipas a importância da cibersegurança, e implementem soluções de cibersegurança que protejam as redes a todos os níveis.”