A unidade de inteligência militar russa conhecida como Sandworm serviu, durante a última década, como a força de ataque cibernético mais agressiva do Kremlin, provocando apagões na Ucrânia e liberando códigos destrutivos e autopropagáveis em incidentes que continuam sendo alguns dos eventos de hackers mais perturbadores da história. Nos últimos meses no entanto um grupo de hackers ligados ao Sandworm tentou uma espécie de caos digital que em alguns aspectos vai além do seu antecessor: assumiram a responsabilidade por atacar directamente os sistemas digitais de uma barragem hidroeléctrica em França e serviços de abastecimento de água nos Estados Unidos e na Polónia, acionando interruptores e alterando configurações de software, num aparente esforço para sabotar as infraestruturas críticas desses países.
Desde o início deste ano, um grupo hacktivista conhecido como Exército Cibernético da Rússia, ou por vezes Exército Cibernético da Rússia Reborn, recebeu crédito em pelo menos três ocasiões por operações de hacking que visavam serviços de água e hidroeléctricas dos EUA e da Europa. Em cada caso, os hackers publicaram vídeos na plataforma de mídia social Telegram que mostram gravações de tela de sua manipulação caótica das chamadas interfaces homem-máquina, software que controla equipamentos físicos dentro dessas redes-alvo. As aparentes vítimas desse hacking incluem várias empresas de abastecimento de água dos EUA no Texas, uma estação de tratamento de águas residuais polaca e uma central hidroeléctrica francesa – embora não esteja claro exactamente quanta perturbação ou danos os hackers podem ter conseguido contra qualquer uma dessas instalações.
A novo relatório publicado hoje pela empresa de segurança cibernética Mandiant estabelece uma ligação entre esse grupo de hackers e o Sandworm, que foi identificado durante anos como Unidade 74455 da agência de inteligência militar russa GRU. A Mandiant encontrou evidências de que o Sandworm ajudou a criar o Exército Cibernético da Rússia Reborn e rastreou vários casos em que dados roubados de redes que o Sandworm havia atacado foram posteriormente vazados pelo grupo Exército Cibernético da Rússia Reborn. A Mandiant não conseguiu determinar, no entanto, se o Cyber Army of Russia Reborn é apenas uma das muitas personas disfarçadas que a Sandworm adotou para disfarçar suas atividades na última década ou, em vez disso, um grupo distinto que a Sandworm ajudou a criar e com o qual colaborou, mas que é agora operando de forma independente.
De qualquer forma, os hackers do Cyber Army of Russia Reborn tornaram-se agora, em alguns aspectos, ainda mais descarados do que o próprio Sandworm, diz John Hultquist, que lidera os esforços de inteligência de ameaças da Mandiant e rastreia os hackers do Sandworm há quase uma década. Ele ressalta que o Sandworm nunca atacou diretamente uma rede dos EUA com um ataque cibernético disruptivo – apenas plantou malware em redes dos EUA em preparação para um ou, no caso do ataque de ransomware NotPetya de 2017, infectou vítimas dos EUA indiretamente com código auto-propagador. O Exército Cibernético da Rússia Reborn, por outro lado, não hesitou em cruzar essa linha.
“Mesmo que este grupo opere sob o comando de uma pessoa ligada ao Sandworm, eles parecem mais imprudentes do que qualquer operador russo que já vimos visando os Estados Unidos”, diz Hultquist. “Eles estão manipulando ativamente os sistemas de tecnologia operacional de uma forma altamente agressiva, provavelmente perturbadora e perigosa.”
Um tanque transbordado e um galo francês
A Mandiant não tinha acesso às redes de serviços públicos de água e usinas hidrelétricas visadas, portanto não foi capaz de determinar como o Exército Cibernético da Russian Reborn obteve acesso a essas redes. Um dos vídeos do grupo postado em meados de janeiro, no entanto, mostra o que parece ser uma gravação de tela que captura a manipulação dos hackers nas interfaces de software dos sistemas de controle das concessionárias de água nas cidades de Abernathy e Muleshoe, no Texas. “Estamos iniciando nosso próximo ataque nos EUA”, diz uma mensagem apresentando o vídeo no Telegram. “Neste vídeo existem alguns objetos de infraestrutura crítica, nomeadamente sistemas de abastecimento de água😋”
O vídeo mostra os hackers clicando freneticamente na interface de destino, alterando valores e configurações dos sistemas de controle de ambas as concessionárias. Embora não esteja claro quais efeitos essa manipulação pode ter tido, o jornal do Texas O Arauto de Plainview relatado no início de fevereiro que as autoridades locais reconheceram os ataques cibernéticos e confirmaram algum nível de perturbação. O administrador municipal de Muleshoe, Ramon Sanchez, teria dito em uma reunião pública que o ataque à concessionária da cidade resultou no transbordamento de um tanque de água. Autoridades das cidades próximas de Abernathy e Hale Center – um alvo não mencionado no vídeo dos hackers – também disseram que foram atingidas. Todas as empresas de serviços públicos das três cidades, bem como outra, em Lockney, teriam desactivado o seu software para evitar a sua exploração, mas as autoridades disseram que o serviço aos clientes das empresas de água nunca foi interrompido. (A WIRED entrou em contato com funcionários de Muleshoe e Abernathy, mas não obteve resposta imediata.)
Outro vídeo que os hackers do Exército Cibernético da Rússia Reborn postou em janeiro mostra o que parece ser uma gravação de tela de uma tentativa semelhante de sabotagem de um serviço de esgoto em Wydminy, um vilarejo na Polônia, um país cujo governo tem sido um forte defensor da Ucrânia no no meio da invasão da Rússia. “Olá a todos, hoje vamos brincar com as estações de tratamento de águas residuais polacas. Divirta-se assistindo!” diz uma voz russa automatizada no início do vídeo. O vídeo então mostra os hackers acionando interruptores e alterando valores no software, com trilha sonora de Super Mario Bros.
Num terceiro vídeo, publicado em março, os hackers gravam-se de forma semelhante a adulterar o sistema de controlo do que descrevem como a barragem hidroelétrica de Courlon Sur Yonne, em França. Esse vídeo foi postado logo depois que o presidente francês Emmanuel Macron fez declarações públicas sugerindo que enviaria militares franceses à Ucrânia para ajudar na guerra contra a Rússia. O vídeo começa mostrando Macron na forma de um galo segurando uma bandeira francesa. “Recentemente ouvimos um galo francês cantando”, diz o vídeo. “Hoje vamos dar uma olhada na barragem de Courlon e nos divertir um pouco. Aproveitem para assistir, amigos. Glória à Rússia!”
Em sua postagem no Telegram, os hackers afirmam ter baixado o nível da água da barragem francesa e interrompido o fluxo de eletricidade que ela produzia, embora a WIRED não tenha conseguido confirmar essas afirmações. Nem a instalação de Wydminy nem o proprietário da barragem de Courlon, Energies France, responderam ao pedido de comentários da WIRED.
Nos vídeos, os hackers mostram algum conhecimento de como funciona uma concessionária de água, bem como alguma ignorância e trocas aleatórias de interruptores, diz Gus Serino, fundador da empresa de segurança cibernética I&C Secure e ex-funcionário de uma concessionária de água e do empresa de segurança cibernética de infraestrutura Dragos. Serino observa que os hackers, por exemplo, alteraram o “nível de parada” dos tanques de água nas concessionárias do Texas, o que poderia ter desencadeado o transbordamento mencionado pelas autoridades. Mas ele observa que também fizeram outras alterações aparentemente arbitrárias, especialmente na estação de águas residuais de Wydminy, que não teriam surtido efeito.
