China e Coreia do Norte são os principais autores de ataques contra a Rússia

Um relatório recentemente publicado pela empresa de cibersegurança Solar revela que a maioria dos ciberataques patrocinados pelo Estado contra a Rússia tem origem na Coreia do Norte e na China. As conclusões do estudo surgem como uma surpresa, devido à parceria política de longa data entre os três países.

Os ataques com apoio estatal destes países são centrados principalmente na espionagem e no furto de dados dos serviços governamentais e de telecomunicações da Rússia, de acordo com os investigadores.

“As conclusões do relatório não são o que eu esperava”, afirma Pascal Geenens, diretor da empresa de cibersegurança Radware. No entanto, os cibercriminosos do Estado-nação têm um incentivo para avançar nas redes aliadas. “Eles gostariam de ser avisados quando um aliado está prestes a tornar-se rebelde ou mantém relações com um Estado que é considerado hostil”, acrescenta.

Ainda no mês passado, Vladimir Putin, o presidente russo, visitou Pequim para se reunir com o seu homólogo chinês, Xi Jinping. Além disto, a Rússia chegou recentemente a um acordo com a Coreia do Norte para expandir a cooperação no comércio, ciência e tecnologia.

Devido à visibilidade limitada das empresas ocidentais aos sistemas informáticos russos, são raros os relatórios sobre ciberataques contra a Rússia. Na semana passada, as autoridades estatais da Rússia e empresas de cibersegurança, como a Solar, forneceram insights sobre o estado do ciberespaço do país durante o SOC Forum, um grande evento de segurança da informação.

Apesar de a Solar afirmar que a maioria dos ataques patrocinados pelo Estado contra a Rússia são originados na Ásia, as autoridades de cibersegurança apontam o dedo aos “inimigos ocidentais” pela coordenação dos ciberataques contra Moscovo.

Em particular, os investigadores da Solar destacam os grupos de ameaças persistentes avançadas (APT) da China enquanto a principal ameaça aos sistemas russos. Segundo o relatório, em setembro, os cibercriminosos ligados ao Estado chinês encetaram uma campanha de espionagem em grande escala contra a Rússia, chegando a infetar diariamente os sistemas de 20 a 40 organizações russas. A atividade cibernética só diminuiu um mês depois, após os fornecedores de segurança terem conhecimento dos ataques.

Em 2022, os investigadores da Check Point descobriram um ataque do Twisted Panda, uma campanha cibercriminosa associada à China, a institutos de defesa estatais russos. “A nossa suposição é que o principal objetivo neste e em muitos outros casos de APT afiliados à China que operam contra a Rússia é a espionagem comercial com foco em indústrias de defesa sensíveis”, prevê Sergey Shykevich, investigador da Check Point. “Esta tendência acelerou-se desde o início da guerra Rússia-Ucrânia”.

De acordo com a Solar, o Lazarus, um grupo de cibercriminosos apoiado pela Coreia do Norte, é outro ator de ameaças que ataca ativamente a Rússia. Nos últimos dois anos, os investigadores seguiram vários incidentes relacionados com o grupo e, no início de novembro, descobriram que estes atacantes ainda tinham acesso a vários sistemas russos.

A SentinelLabs, empresa de segurança cibernética, detetou em agosto uma intrusão de cibercriminosos norte-coreanos numa organização de engenharia de mísseis da Rússia. Os investigadores atribuíram o ataque ao Lazarus e ao ScarCruft, um grupo de espionagem da Coreia do Norte.

Tom Hegel, investigador da SentinelLabs, considera que este ataque “ressalta um padrão em vez de um incidente isolado”, sublinhando também que “é crucial reconhecer que os atores de ameaças da China e da Coreia do Norte transcendem os objetivos financeiros e de espionagem, muitas vezes interligando os dois”.

No contexto da guerra com a Ucrânia, a Rússia tem enfrentado frequentemente ciberataques de cibercriminosos ucranianos com motivação política, como o IT Army, que realizam ataques distribuídos de negação de serviço (DDoS) em websites russos ou divulgam dados de empresas públicas e privadas. 

Identificar atacantes apoiados pela Ucrânia no ciberespaço russo é difícil, uma vez que existem muitos “cibercriminosos com motivação política de diferentes regiões a agir nos seus interesses”, dizem os investigadores da Solar.

Um dos ataques associados à Ucrânia foi contra um dos fornecedores de Internet da Rússia, resultando na destruição de algumas das suas infraestruturas. Embora o relatório não especifique o fornecedor alvo do incidente, o Recorded Future News considera que é provável que se refira ao ciberataque contra o Dozor-Teleport, um provedor russo de comunicações por satélite.