WASHINGTON – O Departamento de Justiça divulgou na quinta-feira acusações acusando quatro autoridades russas de realizar uma série de ataques cibernéticos visando infraestrutura crítica nos Estados Unidos, incluindo uma usina nuclear no Kansas, e evidentemente comprometer uma instalação petroquímica na Arábia Saudita.
O anúncio cobriu hackers de 2012 a 2018, mas serviu como mais um alerta do governo Biden sobre a capacidade da Rússia de realizar tais operações. Isso aconteceu dias depois que o presidente Biden disse às empresas que Moscou poderia realizar esses ataques para retaliar os países que se opuseram vigorosamente à invasão russa da Ucrânia.
“Embora as acusações criminais reveladas hoje reflitam atividades passadas, elas deixam clara a necessidade urgente e contínua de as empresas americanas fortalecerem suas defesas e permanecerem vigilantes”, disse a vice-procuradora-geral Lisa O. Monaco em comunicado. “Hackers patrocinados pelo Estado russo representam uma ameaça séria e persistente à infraestrutura crítica tanto nos Estados Unidos quanto em todo o mundo.”
Os quatro funcionários, incluindo três membros da agência de inteligência doméstica da Rússia, o Serviço Federal de Segurança, ou FSB, são acusados de violar centenas de empresas de energia em todo o mundo, mostrando a “arte sombria do possível”, disse um funcionário do Departamento de Justiça em um evento. briefing com os repórteres.
As acusações confirmam essencialmente o que pesquisadores cibernéticos disseram há anos, que a Rússia era a culpada pelas intrusões. Nenhum dos oficiais russos acusados dos ataques foi preso.
Em sua advertência às empresas privadas na segunda-feira, Biden pediu que elas reforcem suas defesas. Especialistas em segurança nacional disseram que as empresas devem relatar qualquer atividade incomum ao FBI e outras agências que possam responder a possíveis violações.
Em um dos acusações revelado na quinta-feira, um programador de computador do Ministério da Defesa russo, Evgeny V. Gladkikh, 36, é acusado de usar um tipo de malware conhecido como Triton para se infiltrar em uma planta petroquímica estrangeira em 2017, levando a duas paralisações de emergência na instalação. A acusação não identificou a localização da usina, mas os detalhes do ataque sugerem que a instalação estava na Arábia Saudita.
Os investigadores acreditavam na época que a intrusão pretendia desencadear uma explosão, mas disseram que um erro no código impediu uma. O sistema de segurança detectou o malware e provocou o desligamento do sistema, levando os pesquisadores a descobrir o código.
Implacável, no ano seguinte Gladkikh e outros hackers pesquisaram refinarias nos Estados Unidos e tentaram invadir os computadores de uma empresa americana que administrava instalações de infraestrutura crítica semelhantes nos Estados Unidos, de acordo com documentos judiciais.
O Sr. Gladkikh foi acusado de uma acusação de conspiração para causar danos a uma instalação de energia, uma acusação de tentativa de causar danos a uma instalação de energia e uma acusação de conspiração para cometer fraude informática, que acarreta uma pena máxima de cinco anos de prisão.
Especialistas em segurança cibernética consideram o malware Triton particularmente perigoso devido ao seu potencial de criar desastres em usinas de energia em todo o mundo, muitas das quais usam o mesmo software que foi direcionado na usina da Arábia Saudita. Seu uso em 2017 sinalizou uma perigosa escalada das ciberabilidades da Rússia, demonstrando que a Rússia estava disposta e capaz de destruir infraestrutura crítica e infligir um ataque cibernético que poderia ter consequências mortais.
“Foi diferente do que vimos antes porque era um novo salto no que era possível”, disse John Hultquist, vice-presidente de análise de inteligência da empresa de segurança cibernética Mandiant.
Em um separado acusaçãopromotores federais acusaram três oficiais do Serviço Federal de Segurança, Pavel A. Akulov, 36, Mikhail M. Gavrilov, 42, e Marat V. Tyukov, 39, de um esforço de um ano para atingir e comprometer os sistemas de computador de centenas de empresas do setor de energia em todo o o mundo.
Acredita-se que os três homens sejam membros de uma unidade da agência de segurança que realiza crimes cibernéticos e são conhecidos por vários nomes, incluindo “Dragonfly”, “Berzerk Bear”, “Energetic Bear” e “Crouching Yeti”.
O grupo tem “uma década de experiência em busca de infraestrutura crítica dos EUA”, disse Hultquist. “Em 2020, eles estavam investigando sistemas estaduais e locais, bem como aeroportos.”
Akulov, Gavrilov e Tyukov são acusados de hackear a Wolf Creek Nuclear Operating Corporation, que administra uma usina nuclear perto de Burlington, Kansas, bem como outras empresas que operam infraestrutura crítica, como empresas de petróleo e gás e empresas de serviços públicos.
De 2012 a 2017, os três homens obtiveram acesso não autorizado aos sistemas de computadores de empresas de petróleo e gás, energia, usina nuclear e concessionárias e monitoraram clandestinamente esses sistemas, segundo a acusação.
Eles visaram o software e o hardware que controlam os equipamentos nas instalações de geração de energia, dando ao governo russo a capacidade de interromper e danificar esses sistemas de computador, de acordo com documentos judiciais.
Eles usaram várias táticas para obter acesso a redes de computadores, incluindo ataques de spearphishing direcionados a mais de 3.300 usuários em mais de 500 empresas americanas e internacionais. Eles visaram agências governamentais como a Comissão Reguladora Nuclear e, em alguns casos, foram bem-sucedidos.
Os três agentes de segurança russos foram acusados de conspiração para causar danos à propriedade de uma instalação de energia e cometer fraude e abuso de computador; e eles foram acusados de conspiração para cometer fraude eletrônica. O Sr. Akulov e o Sr. Gavrilov foram acusados separadamente de roubo de identidade agravado.
Grupos de hackers russos geralmente estudam infraestrutura crítica, comprometendo-a e depois se escondendo em sistemas de computador por meses ou anos sem agir, disse Hultquist.
“É esse processo deles ganhando acesso, mas não necessariamente puxando o gatilho. É a preparação para a contingência”, disse. “O objetivo é nos informar que eles podem responder.”
Discussão sobre isso post