A Rússia é um dos atores cibernéticos mais prolíficos do mundo e dedica recursos significativos à realização de operações cibernéticas em todo o mundo. O governo do Reino Unido atribuiu publicamente atividades cibernéticas malignas a partes de três serviços de inteligência russos: FSB, SVR e GRU, cada um com suas próprias atribuições.
Uma tabela das partes dos serviços de inteligência russos que o governo do Reino Unido atribuiu publicamente está abaixo.
RIS ciberorganograma
O programa cibernético FSB
O FSB (Serviço de Segurança Federal; russo: (Федеральная служба безопасности (ФСБ)) é a agência de segurança estatal da Rússia e sucessora da KGB. Desde sua formação em (1995, o FSB tem realizado vigilância eletrônica de equipamentos.
FSB Centre 16
O FSB Center 16 (16th Center) é responsável pelas operações cibernéticas, incluindo a interceptação, descriptografia e processamento de mensagens eletrônicas e a penetração técnica de alvos estrangeiros. Seu título completo é o Centro de Inteligência Radioeletrônica por Meios de Comunicação (TsRRSS; russo: Centro de Inteligência Radioeletrônica por Meios de Comunicação (ЦPPCC)) e também é conhecido como “Unidade Militar 71330” (V/Ch 71330) (Unidade Militar B/Ch 71330).
Quando a KGB foi dissolvida em 1991, a 16ª Diretoria da KGB tornou-se FAPSI (russo: ФAPϹI) ou Agência Federal de Comunicações e Informações Governamentais (FAGCI) (russo:Фederal’noe Agentstvo Pravitel’stvennoj Ϲvyazi i Informacii), um governo russo agência, que era responsável pela inteligência de sinais (SIGINT) e segurança das comunicações governamentais.
Em 2003, a FAPSI foi dissolvida, e o 3º Departamento Principal da FAPSI (responsável pelo SIGINT) foi transferido para o FSB formando a base do FSB Centro 16.
O emblema do FSB Center 16 sugere suas atividades no ciberespaço: uma antena parabólica (significando atividade SIGINT) e uma chave, quebrada por um raio, (significando a quebra de uma chave de criptografia) estão presentes.
Operações cibernéticas conduzidas pelo FSB Center 16
O FSB Center 16 é observado realizando operações cibernéticas desde pelo menos 2010. Eles realizaram campanhas significativas contra o setor de energia em 2014 e o setor de aviação em 2020.
Operações cibernéticas contra infraestrutura nacional crítica em todo o mundo
O Centro 16 do FSB tem como alvo/obtido sistemas de acesso não autorizado em países ao redor do mundo que são necessários para o funcionamento de um país e dos quais depende a vida diária. Conhecido como Infraestrutura Nacional Crítica ou CNI, o Centro 16 tem como alvo sistemas essenciais para energia, saúde, finanças, educação e governos locais/nacionais. Esta tem sido uma campanha concertada ao longo de muitos anos e em uma ampla gama de países da Europa, Américas e Ásia.
O NCSC e as empresas de segurança cibernética alertaram os defensores da rede em várias ocasiões sobre os riscos representados por esse padrão de atividade. Embora tenha havido especulações sobre o envolvimento do FSB, o governo do Reino Unido está confirmando que essa atividade foi realizada pelo FSB Centre 16 e fornece mais detalhes de exemplos específicos dessa atividade para aumentar a conscientização e a transparência sobre a ameaça.
Tabela 2: Operações cibernéticas contra a CNI
| Encontro | Atividade | Descrição dos alvos | Outras informações |
|---|---|---|---|
| junho a julho de 2013 | Pacote de software comprometido, transformando o software em um Trojan, um programa de aparência legítima que contém malware | Fabricante europeu de dispositivos controladores lógicos programáveis | Relatório da Symantec: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=7382dce7-0260-4782-84cc-890971ed3f17&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarvdocuments |
| abril de 2014 | Software comprometido | Desenvolvedor europeu de turbinas eólicas, biogás e outras infraestruturas de energia | Relatório da Symantec: https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=7382dce7-0260-4782-84cc-890971ed3f17&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarvdocuments |
| abril de 2017 | Conduziu atividade cibernética maliciosa | Empresas britânicas associadas ao setor de energia | |
| Outubro de 2017 | Obteve acesso não autorizado e comprometeu várias redes por meio de atividade cibernética maliciosa, incluindo spear phishing | Setor de energia europeu e norte-americano | Relatório da Symantec: Dragonfly: setor de energia ocidental alvo de grupo de ataque sofisticado https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/dragonfly-energy-sector-cyber-attacks . Symantec indicam que os atores podem ter “acesso a sistemas operacionais” |
| março de 2018 | Conduziu spear phishing, capturou credenciais de usuário, obteve acesso não autorizado à CNI e dados exfiltrados | Energia dos EUA, instalações nucleares, comerciais, água, aviação e setores críticos de manufatura | Consultoria da agência de segurança cibernética e infraestrutura dos EUA https://www.cisa.gov/uscert/ncas/alerts/aa22-074a . [O comunicado afirma que a atividade detalhada foi realizada por atores do governo da Rússia e aponta para o relatório da Symantec detalhado acima (outubro de 2017) que detalha as atividades maliciosas realizadas pelo grupo chamado “Dragonfly”] |
| abril de 2018 | Organizações comprometidas do Reino Unido com foco em empresas de engenharia e controle industrial. Os invasores podem acessar listas de contatos de empresas invadidas e estabelecer acesso de longo prazo às redes | Empresas de engenharia e controle industrial do Reino Unido | Aviso do NCSC: https://www.ncsc.gov.uk/news/hostile-state-actors-compromising-uk-organisations-focus-engineering-and-industrial-control |
| fevereiro de 2020 a agosto de 2020 | Varredura e sondagem sustentada e substancial de redes | setor de aviação americano | Este reconhecimento poderia ser usado para obter acesso em uma data posterior |
| Setembro de 2020 em diante | Dados direcionados e exfiltrados | Setor de aviação americano e outros alvos-chave dos EUA | CISA alert AA20-296A |
Operações cibernéticas contra dissidentes, opositores políticos e o público russo
O governo do Reino Unido identificou os atores do FSB Center 16 usando operações cibernéticas para monitorar ou tentar obter acesso não autorizado aos sistemas de computador de dissidentes, opositores políticos e o público russo.
Tabela 3: Operações cibernéticas conduzidas pelo FSB Center 16 contra dissidentes, críticos proeminentes do Kremlin e o público russo
| Encontro | Atividade | Outras informações |
|---|---|---|
| setembro de 2017 | Obteve acesso não autorizado ao endereço de e-mail de um associado de Aleksey Navalny | Aleksey Navalny é um crítico proeminente de Putin e um forte defensor da democracia na Rússia. Em agosto de 2020 Navalny foi envenenado na Rússia. Após o tratamento na Alemanha, ele retornou à Rússia e foi preso na chegada |
| outubro de 2019 a janeiro de 2020 | Posando como o Serviço Fiscal Federal da Rússia, realizou spear phishing contra vários cidadãos russos | Muitos dos alvos são críticos do atual governo |
| fevereiro de 2020 | Tentativa de Spear-phish o secretário de imprensa de Mikhail Khodorkovskiy | 1: Mikhail Khodorkovskiy é um crítico proeminente da administração russa e atualmente reside no Reino Unido. 2: Mikhail Khodorkovskiy disse que acredita estar em sério risco de dano nas mãos do Estado russo. Atualmente reside no Reino Unido. Espera-se que o secretário de imprensa tenha acesso ao diário e planos de viagem de Mikhail Khodorkovskiy |
| Maio de 2020 | Monitorou o site “dossier.center”, um site criado por Mikhail Khodorkovskiy para expor a corrupção dentro do governo russo. Esta atividade ocorreu logo após o site divulgar informações sobre o FSB | Esta atividade provavelmente representa a coleta de inteligência contra grupos ligados a Mikhail Khodorkovskiy |
Com informações do GOV.UK
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
