Hackers suspeitos de trabalharem para a inteligência da Rússia direcionaram ciberataques a diplomatas de várias embaixadas na Ucrânia, segundo alerta emitido nesta quarta-feira (12) por analistas da empresa de cibersegurança Palo Alto Networks, dos EUA. Os cibercriminosos tentaram invadir os computadores das missões diplomáticas utilizando um falso anúncio de carro usado, de acordo com a agência Reuters.

A companhia de segurança cibernética afirma que a atividade de espionagem teve como alvo diplomatas que trabalham em pelo menos 22 das aproximadamente 80 missões estrangeiras em Kiev. O relatório destaca que a campanha começou de forma “inocente e legítima”.

Em abril de 2023, um diplomata do Ministério dos Negócios Estrangeiros da Polônia enviou por e-mail um anúncio autêntico no qual colocava a venda seu automóvel BMW Série 5, o mesmo modelo usado em Kiev em vários consulados.

A oferta, enviada a outras embaixadas no país, foi interceptada e copiada por um grupo de hackers associado ao Kremlin e conhecido como APT29 (ou Cozy Bear, “urso aconchegante”, em tradução literal). Os cibercriminosos, então, adicionaram um software malicioso ao arquivo antes de enviá-lo para dezenas de outros diplomatas estrangeiros.

Na tentativa de incentivar os destinatários a abrirem o anexo do e-mail, os hackers reduziram o preço original ofertado, deixando-o em 7,5 mil euros (cerca de R$ 40 mil). Dentro do anexo, uma das fotos do carro, com ano de fabricação 2011, escondia o software malicioso. Uma vez aberto, esse programa tinha o potencial de infectar os sistemas, concedendo controle total aos criminosos sobre suas redes.

Segundo os pesquisadores, “as representações diplomáticas são sempre um alvo de alto valor para a espionagem. Dezesseis meses após a invasão russa na Ucrânia, a inteligência relacionada à Ucrânia e os esforços diplomáticos dos aliados são, sem dúvida, uma alta prioridade para o governo russo.”

Ataque sofisticado

Um porta-voz da Palo Alto Networks descreveu a situação: “Esta operação é impressionante em termos de escopo, considerando que geralmente são realizadas operações de ameaças persistentes avançadas (APT) de forma sigilosa e com foco restrito.”

A sigla APT é frequentemente usada para descrever ataques cibernéticos de espionagem, sabotagem ou interrupção de serviços realizados por grupos de hackers apoiados por governos.

O APT29, conhecido por suas atividades de espionagem cibernética, tem sido vinculado a ataques contra embaixadas e ministérios estrangeiros da Otan (Organização do Tratado do Atlântico Norte) e da União Europeia (UE).

O grupo invariavelmente usa e-mails de “spear-phishing“, ataque cibernético direcionado que usa mensagens personalizadas para enganar as vítimas e obter informações confidenciais, e links para sites infectados como táticas de ataque. Essas ações têm sido associadas a serviços russos de inteligência.

No caso em tela, os pesquisadores da Palo Alto Networks identificaram que o anúncio falso do BMW empregou ferramentas e técnicas anteriormente ligadas ao SVR (Serviço de Inteligência Estrangeiro, da sigla em russo), que em 2021, já havia sido associado ao APT29 por agências de inteligência dos Estados Unidos e do Reino Unido.