Pesquisadores de segurança cibernética identificaram uma nova onda de ataques direcionados a organizações ucranianas que parecem estar ligadas ao coletivo de hackers apoiado pela Rússia conhecido como Sandworm. De acordo com as descobertas da Symantec e do VMware Carbon Black, os invasores se infiltraram em um grande provedor de serviços de negócios e em uma agência governamental local, mantendo o acesso por dias ou até meses enquanto coletavam dados confidenciais.
Os pesquisadores revelaram que o primeiro ataque envolveu uma empresa de serviços empresariais, onde os agentes da ameaça permaneceram sem serem detectados por mais de dois meses. Acredita-se que eles tenham entrado explorando vulnerabilidades em servidores voltados para o público e instalando web shells para estabelecer acesso persistente. Uma vez lá dentro, eles dependiam muito de ferramentas administrativas integradas, um método que permite que os invasores se movam pelas redes sem deixar rastros óbvios de malware.
Um dos web shells descobertos, conhecido como LocalOlive, foi associado a operações anteriores atribuídas ao Sandworm. Embora os pesquisadores ainda não tenham confirmado o envolvimento direto do grupo, a sobreposição de táticas e conjuntos de ferramentas sugere fortemente uma ligação. Sandworm, também conhecido como APT44, é amplamente considerado uma das unidades cibernéticas russas mais perigosas e tem sido vinculado a algumas das operações mais perturbadoras da história recente da Ucrânia.
No segundo incidente, os agressores comprometeram uma agência do governo local por cerca de uma semana. Embora a intrusão tenha sido mais curta, as técnicas usadas foram quase idênticas, sugerindo que o mesmo ator ou um grupo afiliado foi o responsável. A campanha se concentrou na exfiltração de arquivos e na coleta de dados do sistema que poderiam suportar operações posteriores. Nenhum sinal de criptografia de dados ou malware destrutivo foi encontrado, indicando que espionagem, e não sabotagem, foi o principal motivo.
O momento e a precisão desses ataques são notáveis porque ocorrem em meio a tensões geopolíticas contínuas e aumento da atividade cibernética em toda a Europa Oriental. A Ucrânia continua sendo uma das nações mais visadas do mundo, com muitas de suas instituições públicas e privadas enfrentando ataques digitais contínuos. O Sandworm, que opera sob a agência de inteligência militar russa GRU, foi responsável por vários ataques importantes no passado, incluindo interrupções na rede elétrica, interferência de satélite e incidentes de limpeza de dados em grande escala.
Ao contrário dos ataques anteriores, as campanhas recentes mostram uma abordagem mais discreta e paciente. Em vez de implantar malware que interrompe imediatamente as operações, os invasores usaram métodos projetados para permanecer invisíveis por longos períodos. Essa abordagem, conhecida como viver da terra, envolve o uso de ferramentas legítimas do sistema para realizar atividades maliciosas. Ao se misturar com o comportamento administrativo normal, os invasores podem se mover pelos sistemas, escalar privilégios e exfiltrar dados sem acionar alertas de segurança padrão.
Essa evolução na estratégia destaca uma mudança nas prioridades operacionais do Sandworm. Enquanto as campanhas anteriores buscavam causar danos imediatos e visíveis, as operações atuais sugerem um foco na coleta de inteligência e no acesso de longo prazo. Ao coletar credenciais e documentos internos, os invasores podem se preparar para operações futuras ou explorar as informações para outros fins estratégicos.
Especialistas em segurança alertam que as implicações dessas descobertas vão além das vítimas imediatas. O uso de técnicas furtivas e persistentes significa que as organizações podem nem perceber que foram comprometidas até muito depois do início da invasão. Como os invasores exploram ferramentas já presentes em um sistema, o software antivírus tradicional geralmente não consegue detectá-las. Por esse motivo, os analistas recomendam o monitoramento constante da atividade da rede e métodos de detecção baseados em comportamento que podem identificar padrões incomuns.
As autoridades ucranianas de segurança cibernética não emitiram uma declaração oficial sobre os incidentes, mas o relatório ressalta o risco contínuo para instituições públicas e empresas privadas que operam no país. A escolha de alvos pelos invasores, provedores de serviços comerciais e escritórios do governo local, sugere um interesse mais amplo em obter acesso a sistemas administrativos que mais tarde poderiam suportar operações coordenadas maiores.
A presença do shell da web LocalOlive e a consistência das táticas usadas em ambos os ataques levaram os pesquisadores a acreditar que essas invasões fazem parte de uma campanha contínua, e não de eventos isolados. A longa história de atividade do Sandworm na Ucrânia acrescenta peso a essa teoria. O grupo foi associado aos ataques à rede elétrica de 2015 e 2016 que deixaram centenas de milhares de ucranianos sem eletricidade, bem como ao surto de NotPetya de 2017 que causou bilhões de dólares em danos globais.
A diferença agora está na quietude com que os invasores operam. Ao evitar ataques de alto perfil que chamam a atenção, eles aumentam suas chances de manter o acesso a redes valiosas. Essa abordagem furtiva permite que eles observem, coletem e se preparem para possíveis operações futuras sem retaliação ou exposição imediata.
Os pesquisadores acreditam que essas campanhas podem servir a propósitos duplos. Eles fornecem inteligência que pode informar o planejamento militar e estratégico da Rússia, ao mesmo tempo em que criam uma base para possíveis ataques disruptivos se as condições geopolíticas aumentarem. A mistura de espionagem e guerra cibernética não é nova, mas os métodos em evolução do Sandworm mostram que ele continua a refinar suas capacidades a cada operação.
A defesa contra esse tipo de ameaça requer não apenas fortes medidas técnicas, mas também vigilância e cooperação constantes entre as organizações. Os especialistas pedem que as instituições ucranianas e seus parceiros revisem os controles de acesso, garantam que o software esteja atualizado e adotem sistemas de detecção proativos que possam detectar sinais sutis de atividades não autorizadas. A capacidade de identificar comportamentos anormais do sistema, em vez de apenas assinaturas de malware conhecidas, é agora uma das defesas mais importantes contra ameaças persistentes avançadas.
O relatório conclui que esses incidentes representam outro capítulo no conflito cibernético em andamento em torno da Ucrânia. Eles também servem como um lembrete de que a guerra cibernética nem sempre envolve ataques abertos ou interrupções dramáticas. Às vezes, assume a forma de infiltração silenciosa e coleta lenta de dados, projetada para fornecer vantagem estratégica de longo prazo em vez de impacto imediato.
A natureza evolutiva da atividade do Sandworm demonstra que o grupo permanece ativo, adaptável e profundamente enraizado no contexto mais amplo das operações cibernéticas patrocinadas pelo Estado. Para a Ucrânia e seus aliados, isso significa que a defesa contra ataques futuros exigirá melhoria contínua nas capacidades de detecção e um foco implacável na prontidão da segurança cibernética.