WASHINGTON – A Microsoft alertou na noite de sábado que havia detectado uma forma altamente destrutiva de malware em dezenas de redes de computadores governamentais e privadas na Ucrânia que pareciam estar esperando para serem acionadas por um ator desconhecido.
Em uma postagem do blog, a empresa disse que na quinta-feira – na mesma época em que agências governamentais na Ucrânia descobriram que seus sites foram desfigurados – investigadores que vigiam as redes globais da Microsoft detectaram o código. “Esses sistemas abrangem várias organizações governamentais, sem fins lucrativos e de tecnologia da informação, todas sediadas na Ucrânia”, disse a Microsoft.
O código parece ter sido implantado na época em que diplomatas russos, após três dias de reuniões com os Estados Unidos e a Otan sobre a concentração de tropas russas na fronteira ucraniana, declararam que as negociações haviam chegado a um beco sem saída.
Autoridades ucranianas culparam um grupo na Bielorrússia pela desfiguração de seus sites governamentais, embora tenham dito suspeitar de envolvimento russo. Mas a atribuição precoce de ataques é frequentemente errada, e não ficou claro se a desfiguração estava relacionada ao código muito mais destrutivo que a Microsoft disse ter detectado.
A Microsoft disse que ainda não conseguiu identificar o grupo por trás da invasão, mas que não parece ser um invasor que seus investigadores tenham visto antes.
O código, conforme descrito pelos investigadores da empresa, deve parecer um ransomware – ele congela todas as funções e dados do computador e exige um pagamento em troca. Mas não há infraestrutura para aceitar dinheiro, levando os investigadores a concluir que o objetivo é infligir o máximo de dano, não arrecadar dinheiro.
É possível que o software destrutivo não tenha se espalhado muito amplamente e que a divulgação da Microsoft torne mais difícil a metástase do ataque. Mas também é possível que os invasores agora lancem o malware e tentem destruir o maior número possível de computadores e redes.
Avisos como o da Microsoft podem ajudar a abortar um ataque antes que ele aconteça, se os usuários de computador procurarem erradicar o malware antes que ele seja ativado. Mas também pode ser arriscado. A exposição muda o cálculo para o agressor, que, uma vez descoberto, pode não ter nada a perder ao lançar o ataque, para ver a destruição que causa.
Para o presidente Vladimir V. Putin da Rússia, a Ucrânia tem sido frequentemente um campo de testes para armas cibernéticas.
Um ataque à Comissão Eleitoral Central da Ucrânia durante uma eleição presidencial em 2014, na qual a Rússia tentou sem sucesso alterar o resultado, provou ser um modelo para as agências de inteligência russas; os Estados Unidos descobriram mais tarde que haviam se infiltrado nos servidores do Comitê Nacional Democrata nos Estados Unidos. Em 2015, o primeiro de dois grandes ataques à rede elétrica da Ucrânia apagou as luzes por horas em diferentes partes do país, inclusive em Kiev, a capital.
E em 2017, empresas e agências governamentais na Ucrânia foram atingidas por um software destrutivo chamado NotPetya, que explorava brechas em um tipo de software de preparação de impostos amplamente utilizado no país. O ataque fechou áreas da economia e atingiu também a FedEx e a companhia de navegação Maersk; Autoridades de inteligência americanas mais tarde rastrearam atores russos. Esse software, pelo menos em seu design geral, tem alguma semelhança com o que a Microsoft alertou no sábado.
O novo ataque limparia os discos rígidos e destruiria os arquivos. Alguns especialistas em defesa disseram que tal ataque poderia ser o prelúdio de uma invasão terrestre pela Rússia. Outros acham que poderia substituir uma invasão, se os atacantes acreditassem que um ataque cibernético não levaria ao tipo de grandes sanções que o presidente Biden prometeu impor em resposta.
Discussão sobre isso post