Google alerta para pressão contínua de ciberameaças contra defesa

A Google Threat Intelligence Group (GTIG) alertou para uma escalada de ciberameaças direcionadas à base industrial de defesa (DIB), incluindo contratantes, fornecedores e profissionais ligados a capacidades militares.

Segundo a análise publicada esta semana, o setor enfrenta uma “barragem implacável” de operações conduzidas por atores estatais associados à China, Rússia, Irão e Coreia do Norte, bem como por grupos hacktivistas pró-Rússia e pró-Irão e por grupos de cibercrime com motivação financeira, nomeadamente operadores de ataques ransomware contra empresas de fabrico.

A atividade ligada à China domina em volume, com operações de ciberespionagem que exploram dispositivos edge e vulnerabilidades zero-day para intrusões prolongadas em entidades aeroespaciais e de defesa. Entre os grupos identificados estão UNC4841, UNC3886, associado aos recentes ataques a telecomunicações em Singapura, e UNC5221.

No caso da Rússia, grupos como APT44 (Sandworm), UNC5125 e UNC5792 têm visado a Ucrânia e outros países, concentrando-se em tecnologias adjacentes ao campo de batalha, como drones. O GTIG refere ainda que um grupo ligado aos serviços de inteligência russos recorreu a Large Language Models (LLM) para ultrapassar limitações técnicas.

O relatório do GTIG explica que “através de prompts, realizam reconhecimento, criam iscos para engenharia social e procuram respostas a questões técnicas básicas para atividades pós-compromisso e configuração da infraestrutura C2”.

A Coreia do Norte mantém uma abordagem híbrida, combinando espionagem com geração de receitas através de esquemas de infiltração de trabalhadores IT em empresas de defesa. A Google descreve campanhas atribuídas a APT45 contra empresas de defesa, indústria automóvel e semicondutores na Coreia do Sul, bem como atividades da APT43 que envolveram a personificação de entidades de defesa nos Estados Unidos e na Alemanha. A atividade do grupo UNC2970 incluiu o recurso ao chatbot Gemini para recolha de informação aberta (OSINT) e planeamento de campanhas.

As operações atribuídas ao Irão, incluindo os clusters UNC1549 e UNC6446, recorreram a portais de recrutamento falsificados e ofertas de emprego fraudulentas para distribuir malware. O GTIG identificou descrições de emprego e inquéritos falsos alojados em infraestrutura controlada por UNC1549, que se faziam passar por empresas de aeroespacial, tecnologia e fabrico de drones.

Além dos atores estatais, grupos hacktivistas pró-Rússia e pró-Irão foram observados a conduzir ataques DDoS, campanhas de doxxing e operações de hack-and-leak.

O relatório destaca ainda o impacto continuado de ataques ransomware no setor industrial, que continuam a afetar cadeias de fornecimento e a amplificar vulnerabilidades estruturais. O fabrico tem sido, há vários anos, o setor mais visado por este tipo de ataques.

Segundo o GTIG, as ameaças estão cada vez mais focadas em vetores menos protegidos, como processos de recrutamento, emails pessoais, dispositivos individuais e equipamentos edge não geridos, recorrendo a técnicas que permitem contornar sistemas tradicionais de deteção.

Para mitigar estes riscos, a Google recomenda a integração proativa de threat intelligence em operações de hunting, a adoção de arquiteturas resilientes e o reforço da visibilidade sobre colaboradores, fornecedores e sistemas perimetrais, de forma a responder a ataques multivetor cada vez mais sofisticados.