Os hackers russos nem sempre atacam alvos de longe, digitando em seus teclados em bunkers de Moscou ou prédios de apartamentos em São Petersburgo. Para alguns hackers do governo russo, viagens ao exterior fazem parte do jogo. Eles empacotam seus equipamentos, embarcam em voos internacionais e se mudam secretamente para o exterior para invadir sistemas de computador.
Entre na GRU Unit 26165 (da agência de inteligência militar Glavnoye Razvedyvatelnoye Upravlenie), uma unidade cibernética militar com hackers operando remotamente e no local. Apesar dos riscos de segurança que as operações cibernéticas no local representam para governos e organizações internacionais, e as questões que eles levantam sobre como o Ocidente deve rastrear e combater o hacking do estado russo, as atividades da Rússia neste domínio não estão recebendo atenção política suficiente.
Unidade GRU 26165, 85ª Central Central de Comunicações Especiais
Em março de 2018, depois que o GRU tentou assassinar o ex-oficial da inteligência russa Sergei Skripal e sua filha Yulia em Salisbury, Inglaterra, usando um agente nervoso Novichok, o Kremlin ficou sob fogo internacional. Funcionários da inteligência britânica culparam o GRU, onde Skripal costumava trabalhar (e mais tarde se tornou um informante britânico); a multinacional Organização para a Proibição de Armas Químicas (OPAQ), que faz cumprir a Convenção sobre Armas Químicas, lançou uma investigação; e em junho do mesmo ano, os países da OPAQ votaram para permitir que o órgão atribua ataques com armas químicas a atores específicos. (Um ano depois, a OPAQ proibiria formalmente Agentes nervosos Novichok.) Investigações jornalísticas adicionais sobre os perpetradores, entretanto, continuaram a apontar para o envolvimento do GRU.
Embora a investigação da OPAQ não tenha se tornado pública por meses, o governo russo decidiu agir rapidamente contra a organização, recorrendo a uma unidade cibernética tática para fazer isso.
Em 10 de abril de 2018, quatro cidadãos russos desembarcaram no Aeroporto Schiphol de Amsterdã, na Holanda. Com passaportes diplomáticos em mãos, eles foram recebidos por um membro da embaixada russa em Haia. Depois de carregar um carro com equipamento técnico – incluindo uma antena de painel de rede sem fio para interceptar o tráfego – os quatro indivíduos patrulharam a sede da OPAQ em Haia por dias, tirando fotos e circulando o prédio antes de serem interceptados pelo Serviço Geral de Inteligência e Segurança Holandês ( Algemene Inlichtingen-en Veiligheidsdienst ou AIVD) e enviado de volta a Moscou. Aparentemente, o plano era que os agentes invadissem os sistemas da OPCW para interromper as investigações sobre a tentativa de ataque com armas químicas do GRU.
A Holanda tornou tudo isso público em 4 de outubro de 2018, com a inteligência holandesa identificando os quatro operadores pelo nome – Aleksei Sergeyevich Morenets e Evgenii Mikhaylovich Serebriakov foram descritos como “operadores cibernéticos” e Oleg Mikhaylovich Sotnikov e Alexey Valerevich Minin foram descritos como “HUMINT (inteligência humana) apoio.” O AIVD ligou todos esses indivíduos ao GRU da Rússia. Uma acusação do Departamento de Justiça (DOJ) emitida no mesmo dia foi um passo além, ligando os hackers – Morenets e Serebriakov – à Unidade GRU 26165.
A unidade 26165, também conhecida como Fancy Bear, já era conhecida por invadir sistemas de longe, incluindo o Comitê Nacional Democrata em 2016 e o Atletismo Mundial (anteriormente a Federação Atlética Amadora Internacional) em 2017. No entanto, as revelações sobre a tentativa de invasão da OPCW feitas claro que a Unidade 26165 faz muito mais. A acusação completa do DOJ, publicado posteriormente pelo Arquivo de Segurança Nacional da Universidade George Washington, alegou que Morenets “era membro de uma equipe da Unidade 26165 que viajou com equipamento técnico para locais ao redor do mundo para conduzir operações de hacking no local para atingir e manter o acesso persistente a Redes Wi-Fi usadas por organizações e funcionários de vítimas.” Serebriakov também pertencia a essa equipe. Embora a Unidade 26165 frequentemente conduza hacks remotos da Rússia, a acusação afirmava que “se o hack remoto não tivesse sucesso ou se não fornecesse aos conspiradores acesso suficiente às redes das vítimas”, a Unidade 26165 realizaria “’no local’ ou operações de hacking de ‘acesso próximo’.”
O incidente da OPCW não foi a primeira vez que esses hackers em particular foram para o exterior para conduzir operações. De acordo com o DOJ, Morenets viajou para o Rio de Janeiro, no Brasil, e Lausanne, na Suíça, em 2016 para invadir as redes Wi-Fi usadas por pessoas com acesso à Agência Antidoping dos EUA, à Agência Antidopagem Mundial e à Agência Canadense Centro de Ética no Esporte. Serebriakov, afirmou a acusação, também participou dessas operações de hacking no local. Ambos os indivíduos supostamente planejavam atacar o Laboratório Spiez na Suíça após o hack da OPAQ. A acusação alegou que Ivan Sergeyevich Yermakov, também parte da Unidade GRU 26165, forneceu suporte de reconhecimento remoto para a operação de hacking no local de seus colegas contra a OPAQ.
Além disso, especula-se que esses hackers no local foram apoiados por outra unidade GRU, que é onde os outros dois russos capturados na Holanda pelo AIVD entram em cena. Sotnikov e Minin foram descritos genericamente pelos holandeses como suporte do HUMINT para os dois hackers e como “oficiais de inteligência militar russos” pela acusação completa do DOJ. Nenhum desses documentos do governo menciona uma unidade GRU específica associada a Sotnikov ou Minin.
Publicada em conjunto com as divulgações estaduais de 4 de outubro de 2018, foi uma nova investigação da Bellingcat ligando o carro russo de Morenets ao prédio da Unidade 26165 na Rússia. Também vinculou o registro do carro do Minin ao “Conservatório” da GRU. O Conservatório — formalmente numerado Unidade GRU 22177 — é a Academia Militar do Ministério da Defesa da Rússia e um local de treinamento para o GRU, localizado em Moscou perto da sede do GRU e de outras instalações de treinamento do GRU. Devido à conexão de Minin com 22177 e as vagas referências dos governos holandês e americano a Sotnikov e Minin como “apoio HUMINT” e “oficiais de inteligência militar russos” separados da Unidade 26165 , vários artigos especularam que agentes de outra unidade do GRU foram encarregados de apoiar a missão em Haia.
Recuando, avaliando a imagem
Os formuladores de políticas devem usar essas informações como um estudo de caso de como os hackers do governo russo – e, teoricamente, hackers estatais de outros países adversários – se movem pelo mundo para invadir sistemas. O uso de operações cibernéticas in loco no exterior parece exclusivo desta equipe GRU, com muitas motivações possíveis em jogo. Não está claro até que ponto da cadeia de supervisão essas operações no local vão. O que está claro, porém, é que os governos ocidentais não podem restringir sua busca por hackers russos à esfera digital; eles também devem se lembrar de como o hacking russo se encaixa nas atividades mais amplas de inteligência russa, inclusive no exterior.
Existem várias conclusões e implicações resultantes dessas informações. As operações cibernéticas no exterior da GRU Unit 26165 parecem se destacar de outras unidades cibernéticas do governo russo. Claro, as capacidades cibernéticas fazem parte das operações de inteligência de forma mais ampla, e muitas operações humanas em todo o mundo utilizam o reconhecimento cibernético de forma contínua. No entanto, quando o Reino Unido (UK) divulgou sua própria declaração sobre a atividade cibernética do governo russo em outubro de 2018, diferenciou claramente entre as atividades da Unidade 26165 na Holanda, Brasil e Suíça e as da Unidade 74455 (Sandworm), que enfatizou “foram realizadas remotamente – por equipes GRU baseadas na Rússia.” A acusação do DOJ parece sugerir, embora isso não esteja totalmente claro, que os hackers que vão para o exterior fazem parte de pelo menos uma subequipe específica dentro da unidade cibernética mais ampla. Além disso, a acusação do DOJ lista vários exemplos de hacks no local ou tentativas de hack, mas as informações publicamente disponíveis não expuseram o mesmo tipo de operações no local pelo Serviço de Inteligência Estrangeira da Rússia, o SVR.
As motivações por trás das operações no local da Unidade 26165 também são uma questão-chave. Com base em informações publicamente disponíveis, sua propensão para operações de “acesso próximo” tende a interromper investigações de alto nível sobre atividades potencialmente embaraçosas do governo russo. O primeiro conjunto de hacks relatados teve como alvo investigações internacionais sobre alegações de doping russo nas Olimpíadas; o segundo conjunto de hacks teve como alvo a investigação internacional sobre a tentativa de assassinato dos Skripals com armas químicas. É possível, portanto, que proteger a imagem do Kremlin seja uma alta prioridade. Simultaneamente, a acusação do DOJ afirmou que a Unidade 26165 realiza operações no local quando as operações remotas não são bem-sucedidas, sugerindo um motivo mais funcional e orientado a efeitos para enviar hackers ao exterior.
No entanto, há outra possibilidade: a GRU pode simplesmente estar usando operações no local quando precisa desviar a atenção de suas próprias falhas. A tentativa fracassada de assassinar Sergei e Yulia Skripal foi realizada pela Unidade GRU 29155, uma equipe de inteligência militar e assassinato russa com relações próximas com o centro de pesquisa federal Signal Scientific Center e o Instituto Estadual de Medicina Militar Experimental do Ministério da Defesa em São Petersburgo , entidades suspeitas de administrar o programa Novichok da Rússia. Os agentes do GRU são bem conhecidos por seus apetites de alto risco e, às vezes, violência aberta, mesmo em relação a outros órgãos de inteligência russos, como o Serviço Federal de Segurança (FSB), a agência de segurança interna da Rússia. (Dito isso, o FSB também é uma organização violenta, realizando táticas repressivas na Rússia e, em 2019, assassinando um requerente de asilo georgiano em Berlim.)
Essa tendência já está ocorrendo no ciberespaço, uma vez que as equipes GRU estão por trás do ataque de malware NotPetya, desligamentos de redes elétricas ucranianas e outras operações mais destrutivas e visíveis publicamente. Tais atividades cibernéticas, alinhadas com culturas de inteligência mais amplas, contrastam com agências como a SVR, que parece valorizar a dissimulação, tanto online quanto offline. Querendo minar freneticamente uma investigação sobre sua própria operação fracassada, não está fora de questão que o GRU tenha enviado agentes da Unidade 26165 para o exterior. Que os hackers da Unidade 26165 Morenets e Serebriakov podem ter tido apoio de outras partes do GRU (operadores HUMINT Sotbikov e Minin) na conspiração da OPCW sugere uma possível coordenação intra-agência mais ampla. Mas, novamente, é fácil – e às vezes equivocado – presumir que há mais coordenação dentro dos serviços de segurança russos do que realmente ocorre.
Tudo isso levanta uma questão final e mais interessante que sempre está em jogo no ecossistema cibernético russo: até onde vai a supervisão de hacks no local?
As operações cibernéticas e de informação com alta sensibilidade política, que Moscou conceitua de forma mais coesa do que no Ocidente, têm maior probabilidade de serem supervisionadas pelo Kremlin. A comunidade de inteligência dos EUA avaliou, por exemplo, que as ações de influência visando as eleições americanas de 2016 foram “aprovadas nos mais altos níveis do governo russo”, e uma conclusão semelhante foi alcançada em relação ao presidente Vladimir Putin e à interferência eleitoral da Rússia em 2020. Isso também pode ser verdade para operações de inteligência mais tradicionais. Quando o Reino Unido terminou sua investigação sobre o assassinato do ex-espião russo Alexander Litvinenko, que foi morto em solo britânico com o material radioativo Polônio-210, concluiu que Putin e o chefe do Conselho de Segurança da Rússia, Nikolai Patrushev, “provavelmente” aprovaram o assassinato.
A tentativa frustrada de assassinato do GRU contra os Skripals atraiu significativa atenção internacional. Na época, as autoridades russas já criticavam as investigações da OPAQ sobre o uso de armas químicas pelo regime de Assad na Síria — chamadas de tentativa de “fazer a OPAQ tirar conclusões apressadas, mas ao mesmo tempo abrangentes” pelo vice-ministro das Relações Exteriores da Rússia. Quando a investigação sobre os envenenamentos de Skripal começou, altos funcionários como o ministro das Relações Exteriores da Rússia, Sergei Lavrov, alegaram falsamente que um laboratório usado pela OPAQ detectou vestígios de um agente nervoso possuído por países da OTAN, mas não pela Rússia. Putin, por sua vez, sempre teve um desprezo particular por pessoas que ele considera traidoras da nação russa, uma vez dizendoque “traidores sempre encontram um fim ruim”, sugerindo uma espécie de raiva pessoal dirigida a indivíduos como Sergei Skripal, que se tornaram agentes do Ocidente. As investigações olímpicas de doping também foram um embaraço para Moscou.
Nesse sentido, é bem possível que altos funcionários do Kremlin orientem o GRU a agir contra investigações como a da OPAQ, levando o GRU a enviar hackers da Unidade 26165 para a Holanda. Também é plausível que as atividades da Unidade 26165 apenas reflitam prioridades mais amplas de coleta de informações, espionando aqueles que tentam “prejudicar” a Rússia, como investigadores que investigam o doping de atletas russos. Como há poucos casos publicamente conhecidos da Unidade 26165 conduzindo operações de “acesso próximo”, talvez essas não sejam amostras representativas, afinal, a GRU realiza essas atividades por conta própria.
Independentemente disso, o GRU está claramente enviando hackers para o exterior para realizar operações. No futuro, o pessoal de inteligência e aplicação da lei ocidental, bem como as organizações multinacionais, deveriam prestar atenção.
Fonte: Atlantic Council
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
