Hackers de elite Russos são detectados e expostos pelos EUA
Embora os hackers de elite do estado-nação da Rússia sejam capazes de realizar ataques destrutivos, os operadores da inteligência militar do GRU Sandworm não conseguiram permanecer nas sombras, sugere uma acusação do grande júri federal dos EUA (ver: 6 Pontos: Espiões russos acusados de hackeamento destrutivo ) .
A acusação demonstra o grau em que as agências de inteligência ocidentais aparentemente conseguiram se infiltrar no aparato de inteligência russo para rastrear ataques a agências específicas – e operadores específicos.”Dos seis hackers acusados, três registraram seus carros no endereço de sua unidade militar em Moscou.”
Ao atribuir o ataque de ransomware falso NotPetya de 2017, as tentativas de interromper os Jogos Olímpicos de Inverno de 2018 e os Jogos Olímpicos de Verão de 2020 e ataques contra organizações que investigam o ataque Novichok da Rússia de 2018 em solo britânico, o Departamento de Justiça dos EUA não se limitou a nomear e envergonhar o Centro Principal do GRU para Tecnologias especializadas – também conhecidas como GRU Unit 74455, que os pesquisadores de segurança chamam de Sandworm, TeleBots, Voodoo Bear e Iron Viking.
O Departamento de Justiça também citou seis hackers que disseram estar por trás do teclado durante os ataques, divulgou suas fotos e as adicionou à lista do FBI dos fugitivos mais procurados. Acredita-se que todos estejam em ou em torno de Moscou. E como a Rússia não tem tratado de extradição com os Estados Unidos, é improvável que eles vejam o interior de um tribunal americano.
Supostos agentes russos do GRU indiciados na semana passada (da esquerda para a direita, linha superior primeiro): Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko e Petr Pliskin. (Fonte: Departamento de Justiça dos EUA)
“As comunidades de inteligência dos Cinco Olhos … devem ter uma visibilidade impressionante das operações de inteligência militar russa”, disse o especialista em segurança cibernética Thomas Rid , professor de estudos estratégicos da Universidade Johns Hopkins e autor de “Medidas ativas”, disse no Twitter.
Não Tão Sombrio
As fontes e métodos – isso é linguagem de inteligência para a prática de coleta e análise de evidências – usados para identificar quem estava por trás dos teclados para esses ataques não são claros. Mas, do ponto de vista da segurança operacional, a unidade GRU não parece ter praticado OPSEC exemplar.
Aric Toler, pesquisador do site de jornalismo investigativo Bellingcat, observa que, dos seis homens indiciados, três haviam registrado o carro no Svobody 21B em Moscou – o endereço físico de sua unidade GRU. Presumivelmente, eles fizeram isso para evitar multas de trânsito.
Toler diz que os investigadores do FBI provavelmente usaram uma ferramenta chamada FindClone – um site russo de reconhecimento facial – ou algo semelhante para ajudar a identificar os suspeitos. Ele observa que as fotos dos suspeitos divulgadas pelo Departamento de Justiça incluem imagens tiradas de páginas agora excluídas do VK – um serviço de mídia social e rede social online russo, semelhante ao Facebook, no qual os suspeitos pareciam ter contas registradas usando pseudônimos. Essas contas foram armazenadas em cache por FindClone.
Combinação: Cibercrime e Ataques do Estado-nação
Autoridades de inteligência dizem que, por vários anos, está ficando mais difícil distinguir entre ataques de estado-nação e campanhas de crimes cibernéticos porque os mesmos hackers podem trabalhar para agências de inteligência durante o horário de expediente e praticar hacking freelance em seu tempo livre.
Um exemplo disso aparece na acusação, como Rid observou.
Um suspeito – Anatoliy Kovalev – também foi acusado de se envolver “em campanhas de spear phishing para lucro pessoal aparente, incluindo campanhas visando grandes imobiliárias russas, concessionárias de automóveis e mineradores de criptomoedas, bem como bolsas de criptomoedas localizadas fora da Rússia”.
Regras para hackers russos
As leis de crimes informáticos da Rússia dificultam processar os cidadãos, desde que apenas tenham enganado estrangeiros, ou pelo menos qualquer pessoa fora da Comunidade dos Estados Independentes, que compreende as antigas repúblicas da União Soviética (consulte: Lembrete da regra do crime cibernético da Rússia: nunca hackear Russos .)
Especialistas em segurança dizem que as agências de inteligência russas há muito tempo fecham os olhos ao cibercrime, desde que os criminosos evitem alvejar a Rússia e seus vizinhos e ocasionalmente façam favores aos espiões do governo. Kovalev, no entanto, é supostamente um oficial de inteligência militar russo. Antes de ser indiciado na semana passada por um grande júri federal, ele – junto com 11 outros oficiais – foi indiciado por um grande júri separado em julho de 2018 por seu suposto papel em interferir nas eleições de 2016 nos EUA . Kovalev e outro oficial do GRU também foram acusados de uma conspiração separada para invadir a infraestrutura eleitoral estadual e os sistemas dos fornecedores de software.
Não se sabe se seus superiores do GRU sabiam de suas supostas atividades extracurriculares. Mas, graças à acusação dos Estados Unidos, sua aparente tendência para hackear para obter lucro – incluindo persuadir outros russos – em seu tempo livre é apenas parte da roupa suja que está sendo lavada pelo governo federal enquanto tenta responsabilizar Moscou por suas atividades de hackers.
Fonte: https://www.govinfosecurity.com/blogs/elite-russian-sandworm-hackers-opsec-problem-p-2960
