Um grupo misterioso tem ligações com 15 anos de hacks Ucrânia-Rússia

Tweet

A EMPRESA DE SEGURANÇA DA RUSSA Kaspersky divulgou hoje uma nova pesquisa que acrescenta outra peça ao quebra-cabeça de um grupo de hackers cujas operações parecem ir mais longe do que os pesquisadores imaginavam anteriormente.

A pesquisa publicada na semana passada pela empresa de segurança Malwarebytes lançou uma nova luz sobre um grupo de hackers, Red Stinger, que vem realizando operações de espionagem contra vítimas pró-Ucrânia na Ucrânia central e vítimas pró-Rússia no leste da Ucrânia. As descobertas foram intrigantes devido à mistura ideológica dos alvos e à falta de conexões com outros grupos de hackers conhecidos. Algumas semanas antes da Malwarebytes divulgar seu relatório, a Kaspersky também publicou uma pesquisa sobre o grupo, que chama de Bad Magic, e concluiu da mesma forma que o malware usado nos ataques não tinha conexões com nenhuma outra ferramenta de hacking conhecida. A pesquisa que a Kaspersky divulgou hoje finalmente vincula o grupo a atividades passadas e fornece algum contexto preliminar para entender as possíveis motivações dos invasores.

Adicionando a pesquisa do Malwarebytes ao que eles encontraram de forma independente, os pesquisadores da Kaspersky revisaram os dados históricos de telemetria para procurar conexões. Eventualmente, eles descobriram que parte da infraestrutura de nuvem e malware que o grupo estava usando tinham semelhanças com campanhas de espionagem na Ucrânia que a empresa de segurança ESET identificou em 2016, bem como campanhas que a empresa CyberX descobriu em 2017.

“O Malwarebytes descobriu mais sobre o estágio inicial da infecção e, em seguida, descobriu mais sobre o instalador” usado em alguns dos ataques do grupo desde 2020, diz Georgy Kucherin, pesquisador de malware da Kaspersky. “Depois de publicar nosso relatório sobre o malware, decidimos visualizar dados históricos sobre campanhas semelhantes que têm alvos semelhantes e que ocorreram no passado. Foi assim que descobrimos as duas campanhas semelhantes da ESET e da CyberX e concluímos com confiança média a alta que as campanhas estão interligadas e todas provavelmente serão executadas pelo mesmo ator.”

A atividade diferente ao longo do tempo tem vitimologia semelhante, o que significa que o grupo se concentrou nos mesmos tipos de alvos, incluindo funcionários que trabalham para facções pró-Rússia na Ucrânia e funcionários, políticos e instituições do governo ucraniano. Kucherin também observa que ele e seus colegas encontraram semelhanças e várias sobreposições no código dos plugins usados ​​pelo malware do grupo. Alguns códigos até pareciam ser copiados e colados de uma campanha para outra. E os pesquisadores viram uso semelhante de armazenamento em nuvem e formatos de arquivo característicos nos arquivos que o grupo exportou para seus servidores.

A pesquisa da Malwarebytes publicada na semana passada documentou cinco campanhas desde 2020 pelo grupo de hackers, incluindo uma que visava um membro do exército ucraniano que trabalha na infraestrutura crítica ucraniana. Outra campanha teve como alvo funcionários eleitorais pró-Rússia no leste da Ucrânia, um conselheiro da Comissão Eleitoral Central da Rússia e um que trabalha com transporte na região. 

Em 2016, a ESET escreveu sobre a atividade que chamou de “Operação Groundbait”: “O ponto principal que diferencia a Operação Groundbait dos outros ataques é que ela tem como alvo principalmente separatistas antigovernamentais nas autodeclaradas Repúblicas Populares de Donetsk e Luhansk. . Embora os atacantes pareçam estar mais interessados ​​nos separatistas e nos governos autodeclarados nas zonas de guerra do leste ucraniano, também houve um grande número de outros alvos, incluindo, entre outros, funcionários do governo ucraniano, políticos e jornalistas”.

Enquanto isso, o Malwarebytes descobriu que uma tática particularmente invasiva que o grupo usou em uma campanha mais recente foi gravar áudio diretamente dos microfones dos dispositivos comprometidos das vítimas, além de coletar outros dados, como documentos e capturas de tela. Em 2017, a CyberX nomeou a campanha que estava rastreando como “Operação BugDrop” porque a campanha de espionagem visando inúmeras vítimas ucranianas “escuta conversas confidenciais controlando remotamente os microfones do PC - para 'grampear' sub-repticiamente seus alvos”.

Em seu trabalho na semana passada, o Malwarebytes não conseguiu chegar a uma conclusão sobre os atores por trás do grupo e se eles estão alinhados com os interesses russos ou ucranianos. Em 2016, a ESET encontrou evidências de que o malware da Operação Groundbait estava em uso desde 2008 e atribuiu a atividade à Ucrânia.

“Nossa pesquisa sobre essas campanhas de ataque e o próprio malware [Groundbait] sugere que essa ameaça é o primeiro malware ucraniano conhecido publicamente que está sendo usado em ataques direcionados”, escreveu a ESET em 2016.

A Kaspersky cita essa conclusão em sua nova pesquisa, mas observa que a empresa não se envolve em atribuição de estado e não investigou ou verificou as descobertas da ESET. Kucherin diz que o grupo conseguiu permanecer oculto por tanto tempo porque seus ataques costumam ser altamente direcionados, concentrando-se no máximo em dezenas de indivíduos por vez, em vez de lançar a exploração em massa. O grupo também reescreve seus implantes de malware, o que os torna difíceis de conectar até que você tenha uma visão completa de várias cadeias de ataque. E acrescenta que a Ucrânia tem sido um campo de batalha digital tão intenso por tantos anos que outros atores e atividades parecem ter distraído os pesquisadores.

“O mais interessante, talvez até chocante, é que o grupo atua há 15 anos. Isso é muito, e é muito raro quando você consegue atribuir uma campanha a outra campanha que aconteceu anos e anos atrás”, diz Kucherin. “Veremos mais atividades deles no futuro. Na minha opinião, é improvável que eles parem o que estão fazendo. Eles são muito, muito persistentes.”