SBU e FBI desmontam campanha russa que sequestrou contas de mensageiros de autoridades na Ucrânia, Europa e EUA

Resumo: O Serviço de Segurança da Ucrânia (SBU), em conjunto com o FBI, expôs uma operação russa de longa duração que sequestrou contas de mensageiros – como Signal, Telegram e WhatsApp – de funcionários públicos, militares, políticos e ativistas na Ucrânia, na Europa e nos Estados Unidos. O ataque depende exclusivamente de engenharia social, não de falhas técnicas nos aplicativos.

O que aconteceu

A SBU divulgou na quinta-feira que, ao lado do FBI, detectou e estuda há meses uma campanha russa estruturada para capturar contas de mensageiros instantâneos usadas por autoridades estrangeiras. O alvo é claro: informação militar, política e econômica que circula em conversas privadas – somada a dados pessoais que servem para perfis de inteligência e operações futuras.

O foco em apps de mensagens reflete uma mudança de comportamento. Plataformas como Signal e Telegram tornaram-se canal de comando informal em governos, exércitos e ONGs, especialmente em zonas de conflito. Comprometer uma única conta entrega acesso a meses ou anos de histórico, listas de contatos sensíveis e grupos restritos.

De acordo com a SBU, a campanha é executada por estruturas de inteligência ligadas ao Kremlin, com infraestrutura distribuída e operações em vários idiomas. Os EUA acompanharam o ofereceram US$ 10 milhões em recompensa por informações que levem aos operadores, segundo cobertura paralela da SecurityWeek.

Como o ataque funciona

A SBU enfatiza que não há exploração de vulnerabilidades nos aplicativos em si – todos os comprometimentos derivam de engenharia social. A técnica mais comum é o envio de SMS que imita o suporte oficial da plataforma, pedindo que o usuário confirme um código ou clique em um link para “validar a conta”. O resultado é o atacante adicionando o próprio dispositivo à conta-alvo (account linking) e passando a receber, em tempo real, todas as mensagens recebidas.

Outra variação observada são links de “convites para reuniões” disfarçados de Zoom, Microsoft Teams ou plataformas oficiais ucranianas, com páginas-clone que pedem login. A SBU também documentou casos em que o atacante se faz passar por contato conhecido da vítima a partir de uma conta já comprometida – encurtando a distância de confiança.

“As mensagens são enviadas no início da manhã, quando os usuários estão fisicamente e emocionalmente mais vulneráveis”, afirmou a SBU em comunicado oficial.

O timing operacional é estudado: e-mails e SMSs chegam antes das 9h, antes do café, quando a vítima está rolando a tela do celular ainda na cama. Esse detalhe transforma o ataque de “phishing genérico” em operação focada, com taxa de sucesso bem mais alta.

Quem é alvo

• Oficiais militares e civis envolvidos no esforço de guerra ucraniano e em programas de assistência internacional
• Políticos e assessores parlamentares na Europa, com ênfase em países que coordenam pacotes de sanções e ajuda militar
• Funcionários do governo dos EUA em pastas de defesa, estado e inteligência
• Jornalistas, pesquisadores e ativistas que cobrem o conflito ou conduzem investigações sobre crimes de guerra
• Funcionários de ONGs e organizações humanitárias com operação no terreno

Análise

O caso reforça duas tendências que já vinham se desenhando desde o início da invasão russa em 2022. A primeira é o deslocamento da ciberespionagem para fora dos clientes corporativos tradicionais – e-mail, VPN, ERP – em direção aos aplicativos de mensagem usados informalmente para coordenação. A segunda é a maturação do uso de engenharia social como vetor preferencial: apps cifrados como Signal estão tecnicamente bem-defendidos, mas o elo humano segue rendido em poucos toques.

Operações ucranianas anteriores já tinham revelado o uso intensivo de smishing pela inteligência russa – especialmente os grupos rastreados como Gamaredon e Turla. A diferença aqui é a coordenação SBU + FBI, que indica volume e impacto suficientes para mobilizar agências dos dois lados do Atlântico ao mesmo tempo – e o anúncio da recompensa milionária do Departamento de Estado americano.

Para o público brasileiro, a leitura é menos sobre o conflito específico e mais sobre o método. Engenharia social via SMS que se passa por suporte oficial de Signal, WhatsApp ou Telegram é a mesma engenharia social usada contra executivos no setor financeiro, jornalistas e ativistas em qualquer país. O playbook é o mesmo – muda apenas o alvo.

Recomendações práticas

• Ative no Signal o “Signal PIN” e a “Tela de bloqueio de registro” (Registration Lock) – impede que um atacante registre seu número em outro aparelho sem o PIN
• No Telegram, ative a senha de dois passos (2FA) em Configurações > Privacidade e Segurança e revise periodicamente “Dispositivos ativos”
• No WhatsApp, ative a verificação em duas etapas e habilite as “chaves de acesso” (passkeys) onde disponíveis
• Para autoridades, jornalistas e ativistas: use número dedicado em chip separado para os mensageiros sensíveis, sem vincular a contas pessoais
• Trate qualquer SMS pedindo “código de verificação” ou “validação de conta” como hostil até prova em contrário – nenhum suporte oficial pede códigos por SMS
• Em organizações com alvos prováveis (governos, ONGs, mídia), implemente treinamento periódico de phishing móvel com cenários realistas e métricas de clique
• Monitore tentativas de “device linking” não solicitadas e configure alertas no celular para cada novo dispositivo vinculado

Fonte: The Record