hacker-1500894_1280.jpg

UE pune envolvidos nos ataques do WannaCry, NotPetya e OPCW

Organizações e indivíduos da Rússia, China, Coreia do Norte foram identificados e alvos de sanções restritivas do bloco
Da Redação
24/09/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Indivíduos e entidades da Coreia do Norte, China e Rússia, responsáveis ​​ou envolvidos nos ataques cibernéticos WannaCry, NotPetya, Operação Cloud Hopper e OPCW (Organização para a Proibição de Armas Químicas) foram identificados e tiveram aplicadas sanções restritivas do Conselho da União Europeia. Além do congelamento de bens e ativos financeiros, eles estão proibidos de viajar dentro da UE. Cidadãos e entidades da UE também estão proibidos de disponibilizar fundos para as pessoas listadas.

Em um comunicado, a UE afirma: “A fim de melhor prevenir, desencorajar, deter e responder a esse tipo de comportamento malicioso no ciberespaço, o Conselho decidiu hoje aplicar medidas restritivas a seis indivíduos e três entidades e organismos envolvidos em ataques cibernéticos com um efeito significativo, ou tentativas de ciberataques com efeito potencialmente significativo, que constituam uma ameaça externa à União Europeia e aos seus Estados membros, ou com efeito significativo contra terceiros Estados ou organizações internacionais. As medidas em causa são a proibição de viajar e o congelamento de bens e ativos financeiros e um congelamento de bens para entidades e organismos. Também é proibida a disponibilização direta ou indireta de fundos a pessoas físicas, entidades e organismos listados”.

Em junho de 2017, a UE intensificou as medidas para desencorajar, dissuadir e responder a ameaças cibernéticas e resposta a atividades cibernéticas maliciosas, estabelecendo um framework (um a lista de tópicos) para uma resposta diplomática conjunta da UE a atividades cibernéticas maliciosas. A UE e os seus Estados-membros podem usar todas as medidas da PESC (Política Externa e de Segurança Comum) para proteger a integridade e a segurança do bloco.

O comunicado oficial da UE estabelece uma distinção entre medidas restritivas direcionadas com efeito dissuasor, afirmando que devem ser distintas da atribuição de responsabilidade a um terceiro Estado. Mas efetivamente elas permitem a identificação do perpetrador e permitem ação retaliatória contra os responsáveis identificados, até o número de seus passaportes.

Reino Unido também aplica sanções

O Reino Unido congratulou-se com a decisão da UE, afirmando que está na vanguarda e não economizando esforços para estabelecer o regime de sanções cibernéticas da UE e que continuará a implementá-lo até o final do período de transição para saída do bloco (Brexit), por meio do seu próprio regime de sanções cibernéticas.

Em um comunicado, o Reino Unidos diz: “Essas sanções — que agora estão em vigor no Reino Unido — enviam um forte sinal de que a atividade cibernética maliciosa contra nossos parceiros e aliados europeus terão consequências. As sanções cibernéticas imporão custos significativos para o comportamento imprudente de atores estatais e não estatais por meio do congelamento de ativos e da proibição de viagens dentro da UE, incluindo o Reino Unido”.

Veja isso
Ataque do WannaCry faz três anos e patches continuam atrasados
Ataques levam UE a medidas contra Rússia, China e Coréia do Norte

A nota acrescenta: “Recentemente, estabelecemos o instrumento legal para nosso próprio regime autônomo de sanções cibernéticas no Reino Unido, que nos permitirá impor proibições de viagens e congelamento de ativos a indivíduos e organizações. O Reino Unido identificou anteriormente as organizações punidas por seus papéis em ataques cibernéticos patrocinados por Estados-nação que visam instituições democráticas, infraestruturas críticas nacional, meios de comunicação e organizações internacionais”.

Ataques mais devastadores da história

O NotPetya e o WannaCry foram dois dos ataques cibernéticos mais devastadores da história, causando bilhões de dólares em danos e interrompendo muitos sistemas vitais. Ao menos uma vítima do NotPetya reivindicou US$ 1,3 bilhão por danos. O ataque do NotPetya teria sido realizado por um grupo hacker ligado ao Estado-Maior das Forças Armadas da Rússia (GRU), também conhecido como Unidade 74455 e Sandworm, que já haviam conduzido dois ataques à rede de energia elétrica da Ucrânia. Esse mesmo grupo tentou um ataque durante as Olimpíadas de Pyeongchang, embora nenhuma declaração do governo sul-coreano tenha acusado o governo russo de seu papel no incidente.

Já campanha Cloud Hopper foi uma operação complexa de coleta de inteligência destinada a reunir informações em vez de interromper sistemas. O grupo hacker APT10 obteve acesso a provedores de serviços gerenciados para roubar propriedade intelectual e dados comerciais confidenciais de ao menos 45 empresas e agências governamentais dos Estados Unidos que usam esses provedores para hospedar sua TI. O grupo, supostamente ligado do governo chinês, continua com essa atividade, migrando para provedores de telecomunicações e TI, onde podem obter acesso a várias organizações e indivíduos simultaneamente.

Os hackers do GRU também estavam por trás de uma tentativa de hacking à rede Wi-Fi da OPCW, visitando fisicamente suas instalações em Haia. Essa operação foi interrompida, mas a unidade esteve envolvida em operações semelhantes na Suíça, Brasil e Malásia que visavam as Olimpíadas e outras investigações envolvendo a Rússia. O uso consistente de equipes físicas de inteligência humana para complementar seus esforços de intrusão torna a GRU um grupo particularmente eficaz. As sanções podem ser particularmente eficazes para interromper essa atividade.

Os identificados no relatório da UE e suas funções atribuídas nos ataques são:

Gao Qiang, da província de Shandong, e Zhang Shilong, de Tianjin, na China. O relatório diz que eles estavam envolvidos na Operação Cloud Hopper, que teve como alvo sistemas de informação de empresas multinacionais em seis continentes, incluindo empresas localizadas na União Europeia, e obtiveram acesso não autorizado a dados comerciais confidenciais, resultando em perdas econômicas significativas.

Diz o relatório: “O grupo APT10, também conhecido como Red Apollo, CVNX, Stone Panda, MenuPass ou Potassium, realizou a Operação Cloud Hopper”. E acrescenta: “Gao Qiang pode ser vinculado ao APT10, inclusive por meio de sua associação com a infraestrutura de comando e controle do APT10. Além disso, a Huaying Haitai, entidade designada para fornecer suporte e facilitar a Operação Cloud Hopper, empregou Gao Qiang. Ele tem ligações com Zhang Shilong, que também é designado em conexão com a Operação Cloud Hopper. Gao Qiang está, portanto, associado a Huaying Haitai e Zhang Shilong. O mesmo raciocínio se aplica a Zhang Shilong, que também está vinculado ao APT10, inclusive por meio do malware que ele desenvolveu e testou em conexão com os ciberataques realizados pelo APT10”.

A Tianjin Huaying Haitai informou ter fornecido suporte financeiro, técnico e material para facilitar a Operação Cloud Hopper.

Alexey Valeryevich Minin, de Perm Oblast, Aleksei Sergeyvich Moentes, de Murmanskaya Oblast, Engenhei Mikhaylovich Serebriakov, de Kursk, e Oleg Mikhaylovich Sotnikov, de Ulyanovsk, todas cidades russas, são listados como tendo participado de uma tentativa de ataque cibernético com efeito potencialmente significativo contra a Organização para a Proibição de Armas Químicas (OPCW) em Haia, Holanda, em abril de 2018.

A tentativa de ataque cibernético tinha como objetivo invadir a rede Wi-Fi da OPCW, o que, se bem-sucedido, teria comprometido a segurança da rede e o trabalho de investigação em andamento. O Serviço de Inteligência e Segurança de Defesa (DISS) da Holanda interrompeu a tentativa de ataque cibernético, evitando assim sérios danos à organização.

O Centro Principal de Tecnologias Especiais (GTsST)  da Direção Geral do Estado-Maior das Forças Armadas da Rússia (GRU), também conhecido como Unidade 74455, é relatado como responsável pelos ciberataques com um efeito significativo originado de fora da União Europeia e constituindo uma ameaça externa para os seus Estados-membros e para ciberataques com um efeito significativo contra terceiros Estados, incluindo ciberataques conhecidos como NotPetya ou EternalPetya em junho de 2017 e os ataques cibernéticos dirigidos a uma rede de energia elétrica ucraniana no inverno de 2015 e 2016.

O NotPetya tornou os dados inacessíveis em várias empresas na União Europeia, em toda a Europa e no mundo todo, ao direcionar os computadores com ransomware e bloquear o acesso aos dados, resultando, entre outras coisas, em perdas econômicas significativas. O ataque cibernético à rede elétrica ucraniana resultou no desligamento de partes dela durante o inverno.

O grupo também é conhecido como Sandworm, Sandworm Team, BlackEnergy Group, Voodoo Bear, Quedagh, Olympic Destroyer, Telebots ou EternalPetya.

O GRU tem um papel ativo nas atividades cibernéticas desenvolvidas pelo Sandworm e pode ser vinculado a ele.

O autor do WannaCry também foi identificado. O relatório afirma que a Chosen Expo da Coreia do Norte, joint venture de exportação do país, forneceu apoio financeiro, técnico ou material e facilitou uma série de ciberataques com um efeito significativo originados de fora da União Europeia e que constituem uma ameaça externa aos seus Estados-membros e de ciberataques com um efeito significativo contra terceiros Estados, como os ataques à Autoridade de Supervisão Financeira da Polônia e à Sony Pictures Entertainment, bem como o roubo cibernético ao Banco Bangladesh e tentativa de roubo ao Banco Tien Phong do Vietnã.

O WannaCry interrompeu os sistemas de informação em todo o mundo, bloqueando o acesso aos dados. Afetou os sistemas de informação das empresas da União Europeia, incluindo os sistemas de informação relacionados a serviços essenciais e atividades econômicas nos Estados-membros.

De acordo com o documento da UE, o grupo é conhecido como APT38 Lazarus.

Os hackers do GRU também estavam por trás de uma tentativa de hacking à rede Wi-Fi da OPCW, visitando fisicamente suas instalações em Haia. Essa operação foi interrompida, mas a unidade esteve envolvida em operações semelhantes na Suíça, Brasil e Malásia que visavam as Olimpíadas e outras investigações envolvendo a Rússia.

O uso consistente de equipes físicas de inteligência humana para complementar seus esforços de intrusão torna a GRU um grupo particularmente eficaz. As sanções podem ser particularmente eficazes para interromper essa atividade.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest