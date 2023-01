De acordo com o Serviço Estatal de Comunicações Especiais e Proteção de Informações (SSSCIP) da Ucrânia, ainda em janeiro, invasores russos e pró-Rússia já tinham começado a espalhar malware do tipo wiper, pensado para apagar o conteúdo de um sistema ou torná-lo inoperante - e os alvos eram fornecedores de serviços, infraestruturas críticas e agências governamentais ucranianas. A 23 de fevereiro, por volta das 16h locais, foram lançados ataques DDoS e wiper; e a 24, dia da invasão da Ucrânia pelas forças armadas russas, parecia inevitável que os ciberataques fossem ter um papel importante no conflito.

Ainda segundo o SSSCIP, desde o início da guerra e até 24 de agosto, a Ucrânia tinha sofrido 1.123 ataques. No entanto, em tempos de conflito, a perceção da eficácia de uma determinada ação é muitas vezes obscurecida e distorcida pela "névoa da guerra", sendo por isso difícil de avaliar.

Tantos meses depois da invasão, é hora de questionar o impacto que a componente de cibersegurança teve na evolução da guerra. Para isso, é possível dividir os ciberataques que ocorreram em quatro categorias: ataques com intenção destrutiva, desinformação, hacktivismo e espionagem.

Alguns ciberataques resultaram parcialmente...

Antes da guerra, os ataques direcionados à rede elétrica ucraniana ou a disseminação do worm NotPetya pelo mundo anunciavam que as ciberarmas iriam desempenhar um papel importante no conflito. Quando uma onda de ataques destrutivos foi lançada contra os modems de comunicação por satélite da Viasat, causando enormes dificuldades de comunicação no lado ucraniano, a previsão parecia ir mesmo tornar-se realidade. Este ataque também causou danos colaterais em países membros da NATO, interrompendo a operação de mais de 5.800 turbinas eólicas na Alemanha. Para além disso, parecem ter-se coordenado muitos ciberataques russos com ataques convencionais, como aconteceu em Dnipro, Kyiv ou no aeroporto de Vinnytsia.

A Rússia tem por hábito utilizar a desinformação como arma para fins políticos. Uma vitória rápida após uma invasão relâmpago e a instalação de um governo fantoche exigiu a organização de campanhas de desinformação junto de duas esferas de influência: na Ucrânia, para convencer a população de que as forças russas estavam a chegar como libertadoras, e na Rússia para ganhar o apoio popular. A Rússia teve muito mais sucesso dentro das suas fronteiras, onde a propaganda parece funcionar parcialmente. À medida que a guerra se arrastava, foi travada uma terceira campanha com o resto do mundo como alvo, com a divulgação de informações falsas sobre os laboratórios americanos de produção de armas biológicas, a desnazificação da Ucrânia e um suposto genocídio - para lançar dúvidas sobre a forma como o conflito era relatado pelos media ocidentais.

No lado do hacktivismo, alguns grupos cibercriminosos conhecidos, como Conti e Lockbit, anunciaram imediatamente o seu apoio a um dos lados, registando-se uma explosão de atividade nos primeiros dias da guerra: sequestros de websites, ataques DDoS e outros mais comuns, direcionados a todos os tipos de alvos vulneráveis claramente identificados como russos ou ucranianos.

A espionagem é a categoria mais difícil de quantificar, uma vez que é extremamente complicado medir o impacto de atividades que são, por definição, secretas. Ainda assim, em março a Google publicou um relatório que revelava a existência de campanhas de phishing levadas a cabo pela Rússia e Bielorrússia, e uma investigação da Proofpoint mostrou que as autoridades da UE que tentavam ajudar os refugiados estavam a ser alvo de campanhas de phishing de uma conta de e-mail ucraniana que supostamente fora hackeada pela inteligência russa.

... mas o impacto na evolução da guerra continua limitado

A maioria dos ciberataques destrutivos, do tipo DDoS ou wiper, ocorreu no período que antecedeu a invasão terrestre. Esse "assédio preparatório" teve consequências, mas não parece ter contribuído para o sucesso da invasão terrestre das forças armadas russas. Após problemas iniciais, o comando ucraniano recompôs-se e estabeleceu linhas alternativas de comunicação para minimizar a disrupção. Em retrospetiva, tudo parece indicar que a Rússia teve muito mais dificuldade com a sua cadeia de comunicações do que a Ucrânia. Esta última até foi capaz de impedir um malware sofisticado (Industroyer 2) descoberto na rede de um fornecedor de energia nacional.

Quando o Conti, um dos grupos cibercriminosos mais proeminentes, publicou declarações ameaçadoras dirigidas ao Ocidente, um ucraniano libertou informação sobre as identidades e práticas dos seus membros, levando à sua dissolução. Por outro lado, parece que os hackers perderam o interesse em atividades relacionadas com guerra e se voltaram para novas distrações, como hackear a empresa Yandex Taxi e enviar uma ordem para todos os seus táxis para que fossem para o centro de Moscovo, o que criou uma situação de caos no trânsito.

No que toca às atividades de espionagem, a Rússia não está imune ao roubo, recolha ou hacking de dados. Muitas pessoas acreditam que uma das razões para a elevada taxa de mortalidade entre os oficiais russos com patentes mais altas foi a vulnerabilidade dos seus sistemas de comunicação, permitindo que a sua localização geográfica precisa fosse determinada.

Se, durante a fase inicial da guerra, a atividade cibercriminosa parece ter-se focado em operações de desestabilização, destruição ou perturbação, a frequência dos ataques diminuiu gradualmente à medida que a determinação do povo ucraniano permitiu a passagem para um estado de guerra prolongado, causando a necessidade de reorientar as atividades para espionagem ou desinformação. Será que estas atividades vão intensificar-se para pressionar os líderes europeus a aliviar as sanções quando a escassez de energia parecer inevitável? Será que os grupos cibercriminosos vão concentrar os seus ataques nos fornecedores europeus de energia, como já vimos em pequena escala? A guerra não acabou e o papel dos ciberataques ainda pode evoluir de formas novas e imprevistas. No entanto, é improvável que venham a ter um peso decisivo no resultado do conflito; são apenas uma ferramenta adicional que pode ser utilizada em conjunto com outras armas ou instrumentos de guerra.

Chester Wisniewski, Principal Research Scientist da Sophos