O Serviço Estatal Ucraniano de Comunicações Especiais e Proteção de Informações afirmou que vários sites e bancos oficiais do governo foram atingidos por um “ataque DDoS maciço", enquanto o país se prepara para uma possível invasão da Rússia.
Este é o segundo ataque a sites governamentais na Ucrânia, pois em janeiro, sites do Ministério das Relações Exteriores e outras agências governamentais foram alvo de hackers.
O Serviço Estatal de Comunicações Especiais e Proteção de Informações e Netblocks, uma organização que rastreia interrupções na Internet em todo o mundo, confirmaram que sites do Ministério da Defesa, Ministério das Relações Exteriores, Ministério da Administração Interna, Serviço de Segurança (SBU) e do Gabinete enfrentou interrupções.
Outros alvos incluem o PrivatBank, uma das maiores instituições financeiras da Ucrânia, e o Oschadbank, o Banco de Poupança do Estado da Ucrânia, ambos lidando com interrupções.
O site do PrivatBank estava fora do ar após o ataque e exibia a mensagem na tela “WAF está observando você”.
Uma captura de tela da mensagem no site do Privatbank após o ataque. (Imagem: Netblocks)
De acordo com a Cloudflare, atividade DDoS pouco frequente na Ucrânia; no entanto, houve um aumento na atividade em relação à semana passada.
“Houve ataques contra sites individuais na Ucrânia que foram disruptivos… Até agora eles foram relativamente modestos em comparação com grandes ataques DDoS que lidamos no passado.”
O Serviço de Comunicações Especiais e Proteção de Informações disse em comunicado que sites de várias instituições e setores governamentais na Ucrânia sofreram um ataque DDoS maciço. Alguns sistemas ainda não estão disponíveis, enquanto outros sites resistiram ao ataque e estão novamente online.
“Atualmente, o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia e outros sujeitos do sistema nacional de segurança cibernética estão trabalhando para combater os ataques, coletando e analisando informações”, disse a Comissão.
De acordo com pesquisadores da ESET, um novo ” malware de limpeza de dados” foi usado no ataque aos sites da Ucrânia. Segundo a reportagem, o malware foi instalado em centenas de dispositivos no país.
“O limpador abusa de drivers legítimos do software EaseUS Partition Master para corromper dados. Como etapa final, o limpador reinicia o computador”, disse a ESET.
Observou-se ainda que em um dos sites que foram alvo de malware, o limpador foi instalado por meio do GPO padrão. Isso significa que os invasores já haviam assumido o controle do servidor Active Directory, o que facilitou a instalação do malware nos dispositivos.
De acordo com vários relatos, o ataque cibernético começou por volta das 16h, horário local, ao mesmo tempo em que o parlamento iniciou a discussão sobre a declaração do estado de emergência na Ucrânia. À medida que as forças russas se deslocavam para o leste do país, tomando duas cidades, o governo ucraniano impôs um estado de emergência de 30 dias no país.
Muitos funcionários do estado também foram vítimas de ataques cibernéticos. Segundo relatos de jornalistas locais, o presidente do parlamento, Ruslan Stefanchuk, e sua família foram atingidos por ataques cibernéticos. Os hackers fizeram inúmeras tentativas de invadir suas contas de e-mail e bloquear cartões bancários e muito mais. A tentativa de fazer login em sua conta foi feita na Rússia.
Considerando a atual tensão Rússia-Ucrânia e o aumento dos ciberataques no país, organizações internacionais vêm acompanhando de perto a situação. O Escritório de Relações Exteriores, Commonwealth e Desenvolvimento do Reino Unido disse que a Direção Principal de Inteligência Russa (GRU) estava envolvida no recente ataque a sites do governo ucraniano.
Anne Neuberger, vice-conselheira de segurança nacional para cibernética dos EUA, disse que as informações técnicas mostram que “a infraestrutura GRU foi vista transmitindo grandes volumes de comunicação para endereços IP e domínios baseados na Ucrânia”.
De acordo com a Computer Emergency Response Team of Ukraine (CERT-UA), os recentes ataques DDoS usaram botnets Mirai e Meris com uma campanha adicional de desinformação por SMS.
Christian Sorensen, ex-líder da equipe internacional de guerra cibernética da US Cybercom, disse que o objetivo desses ataques DDoS e cibernéticos é aumentar a pressão e a tensão no país.
“Ainda não parece muito impacto. Nas próximas horas/dias, prevejo mais atividades para isolar e perturbar os cidadãos ucranianos e especialmente as atividades governamentais”, disse Sorensen.
O principal objetivo de tudo isso é causar o caos no país e deixar o povo e o governo inseguros sobre suas ações. Esta é apenas a primeira etapa, pois a próxima etapa pode ser mais impactante e dificultar a interferência de outros países.
À luz da atual tensão e ameaça de uma potencial invasão russa da Ucrânia, o DHS nos EUA, o NCSC no Reino Unido e o ACSC na Austrália alertaram as empresas para aumentar sua segurança cibernética e se preparar para possíveis ataques cibernéticos caso a OTAN interfira na Ucrânia. O Ocidente também impôs sanções à Rússia após a escalada da crise na Ucrânia.