EUA acusam quatro espiões russos por hackear instalações petrolíferas sauditas e usina nuclear dos EUA – TechCrunch

O Departamento de Justiça dos Estados Unidos cobranças anunciadas contra quatro funcionários do governo russo por uma campanha de hackers de anos visando infraestrutura crítica, incluindo uma operadora de energia nuclear dos EUA e uma instalação petroquímica saudita.

A primeira acusação, de junho de 2021, acusa Evgeny Viktorovich Gladkikh, 36, programador de computador do Ministério da Defesa da Rússia e dois co-conspiradores, de planejar hackear sistemas de controle business – os dispositivos críticos que mantêm as instalações industriais operacionais – em nível international. instalações de energia. Acredita-se que Gladkikh esteja por trás do infame malware Triton, que foi usado para visar uma planta petroquímica na Arábia Saudita em 2017. Os hackers usaram o malware na tentativa de desabilitar os sistemas de segurança da planta projetados para evitar condições perigosas que poderiam levar a vazamentos ou explosões. Tritão foi ligado pela primeira vez à Rússia em outubro de 2018.

Após o plano fracassado de explodir a fábrica saudita, os hackers tentaram invadir os computadores de uma empresa que gerenciava entidades semelhantes de infraestrutura crítica nos EUA, segundo o DOJ.

A segunda acusação, apresentada em agosto de 2021, acusa Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov e Marat Valeryevich Tyukov, todos supostamente membros da Unidade Militar 71330 do Departamento Federal de Segurança da Rússia (FSB), com uma série de ataques direcionados ao setor de energia entre 2012 e 2017. Os hackers, mais conhecidos pelos pesquisadores de segurança como “DragonFly”, “Vigorous Undergo” e “Crouching Yeti”, tentaram obter acesso a redes de computadores de empresas do setor de energia internacional, incluindo empresas de petróleo e gás, usinas nucleares e empresas de serviços públicos e de transmissão de energia, disse o DOJ.

Na primeira fase de seus ataques, que ocorreram entre 2012 e 2014, os agentes de ameaças comprometeram as redes de fabricantes de dispositivos de controle business e fornecedores de device, depois ocultaram o malware Havex dentro de atualizações de device. Isso, juntamente com ataques de spearphishing e watering hollow – uma forma de ataque que visa usuários infectando websites que eles costumam visitar – permitiu que os invasores instalassem malware em mais de 17.000 dispositivos exclusivos nos Estados Unidos e no external.

A segunda fase, “DragonFly 2.0”, ocorreu de 2014 a 2017 e envolveu mais de 3.300 usuários em mais de 500 organizações americanas e internacionais, incluindo a Comissão Reguladora Nuclear do governo dos EUA e a Wolf Creek Nuclear Working Company.

“Os hackers patrocinados pelo Estado russo representam uma ameaça séria e persistente à infraestrutura crítica tanto nos Estados Unidos quanto em todo o mundo”, disse a vice-procuradora-geral dos EUA Lisa Monaco em uma afirmação. “Embora as acusações criminais reveladas hoje reflitam atividades passadas, elas deixam clara a necessidade urgente e contínua de as empresas americanas fortalecerem suas defesas e permanecerem vigilantes.”

John Hultquist, vice-presidente de análise de inteligência da Mandiant, disse que as acusações fornecem um vislumbre do papel do FSB nas tentativas de hackers patrocinadas pelo Estado da Rússia e são um “tiro de alerta” para os grupos de intrusão russos que realizam esses ataques cibernéticos disruptivos. “Essas ações são pessoais e servem para sinalizar a qualquer um que trabalhe para esses programas que eles não poderão deixar a Rússia tão cedo”, disse ele.

Mas Hultquist alertou que os hackers provavelmente mantêm o acesso a essas redes. “Notavelmente, nunca vimos esse ator realmente realizar ataques disruptivos, apenas se enterrar em infraestrutura crítica sensível para alguma contingência futura”, disse ele ao TechCrunch. “Nossa preocupação com os eventos recentes é que essa pode ser a contingência pela qual estávamos esperando.”

Casey Brooks, um caçador de adversários sênior da Dragos, que chama o grupo por trás do malware Triton de “Xenotime”, disse ao TechCrunch que é improvável que as acusações detenham os hackers.

“Esses grupos de atividades são bem dotados de recursos e podem conduzir operações complexas contínuas. Embora as acusações detalhem algumas das atividades de intrusão desses grupos, sua amplitude é muito maior”, disse Brooks. “Por exemplo, sabemos que para o Xenotime isso é apenas uma fração de sua atividade geral. É essencial perceber que esses grupos ainda estão ativos e as acusações provavelmente farão pouco para impedir as operações futuras desses grupos adversários”.

A abertura das acusações ocorreu três dias depois que o presidente Joe Biden alertou sobre uma crescente ameaça cibernética russa contra empresas dos EUA em resposta às sanções ocidentais à Rússia por sua invasão da Ucrânia. Também ocorre poucos dias depois que o DOJ indiciou seis hackers que trabalhavam a serviço da agência de inteligência militar da Rússia, o GRU. Os hackers, conhecidos como Sandworm, são acusados ​​de uma série de ataques de cinco anos, incluindo o destrutivo NotPetya ciberataque que atingiu centenas de empresas e hospitais em todo o mundo em 2017 e um ataque cibernético que derrubou a rede elétrica da Ucrânia.