Google alerta: defesa global sob cerco cibernético

A indústria de defesa global enfrenta uma ofensiva cibernética persistente e multifacetada orquestrada por atores estatais e grupos criminosos, conforme análise do Google Threat Intelligence Group (GTIG). As operações variam desde espionagem de tecnologias emergentes no campo de batalha da Ucrânia até o comprometimento de cadeias de suprimento por meio de ransomware, com drones e sistemas não tripulados emergindo como alvo transversal entre os agressores.

Atores russos miram campo de batalha e mensageiros

Apoiando a invasão à Ucrânia, grupos como APT44, UNC5792 e UNC4221 concentram esforços no comprometimento de aplicativos de mensageria usados por militares ucranianos, como Signal e Telegram. Táticas incluem o uso de malware como INFAMOUSCHISEL e GREYBATTLE, além da exploração do recurso de vinculação de dispositivos para sequestrar contas do Signal. Paralelamente, clusters como TEMP.Vermin e UNC5976 empregam iscas temáticas sobre drones e sistemas de defesa antiaérea para entregar payloads e furtar credenciais. Até mesmo grupos menos sofisticados passaram a superar limitações técnicas utilizando modelos de linguagem (LLMs) para criar iscas de phishing e conduzir reconhecimento.

China mantém volume e aponta para periferia de rede

Ameaças vinculadas à China representam, em volume, o maior vetor de espionagem contra a base industrial de defesa nos últimos dois anos. Grupos como UNC3886 e UNC5221 demonstram uma estratégia deliberada de explorar vulnerabilidades zero-day em dispositivos de borda, como VPNs e firewalls, para burlar ferramentas de detecção e manter acesso persistente por longos períodos. Operações como a BRICKSTORM registraram tempo de permanência médio de 393 dias. Já o cluster UNC6508 foi observado utilizando credenciais roubadas para desviar comunicações por regras de e-mail baseadas em palavras-chave sobre sistemas militares e contratantes de defesa.

Ameaça persistente de funcionários e processos de RH

A exploração da “camada humana” tornou-se um eixo central de comprometimento. A Coreia do Norte emprega trabalhadores de TI infiltrados para gerar receita e furtar propriedade intelectual, com um caso documentado envolvendo um contrato vinculado a programa de defesa do governo dos EUA. Atores iranianos como UNC1549 e UNC6446 exploram portais de emprego falsos e aplicativos maliciosos de currículo para atingir funcionários de empresas aeroespaciais. Já o grupo chinês APT5 conduziu campanhas direcionadas a e-mails pessoais de colaboradores, utilizando iscas hiperpersonalizadas, como convites para feiras do setor e eventos escolares de familiares.

A diretora de IA da empresa de segurança AppOmni, Melissa Ruzzi, não se surpreende com os ataques de extração de modelos como uma forma ilegal de tentar obter vantagem no desenvolvimento de um novo modelo, por causa do custo do treinamento de novos modelos: “Isso é semelhante à engenharia reversa que vemos em outros setores, como o automotivo. Com provedores de modelos cada vez mais poderosos, como o Google, adicionando mecanismos de segurança aos seus modelos, os invasores podem querer extrair os modelos na tentativa de usar seu poder sem essas proteções. Podemos esperar que a IA seja cada vez mais usada em ataques. Ataques a aplicativos SaaS, como violações de dados decorrentes de configurações incorretas, podem se tornar ainda mais comuns do que são hoje, com a IA facilitando a exploração. O custo das violações de SaaS aumentará e as configurações adequadas de permissões e dados se tornarão ainda mais importantes do que são atualmente.”

Hacktivismo e crime cibernético ampliam exposição da cadeia industrial

O setor de manufatura, que fornece componentes de uso dual para defesa, lidera listagens em sites de vazamento de dados. Embora contratantes diretos de defesa representem apenas 1% desses incidentes, paralisações em fabricantes de veículos militares já afetaram milhares de organizações downstream. No front hacktivista, grupos pró-Rússia como KillNet e Beregini realizam operações de vazamento e doxxing contra militares ucranianos e contratantes ocidentais. Já células pró-Irã, como Handala, expandiram alvos para além de Israel com campanhas sistemáticas de exposição de dados de funcionários da indústria de defesa, sinalizando recentemente intenção de apoiar “atividades antirregime no exterior”.