O grupo Sandworm é conhecido por empregar técnicas perigosas para as vítimas e por ter conseguido efetivamente provocar apagões na Ucrânia em 2015 e 2016. Agora, a empresa de cibersegurança industrial Dragos revela, no relatório anual, que o grupo Kamacite tem ligações próximas ao Sandworm e que tem estado a atacar a infraestrutura elétrica e sistemas de controlo industrial nos EUA há alguns anos. Companhas elétricas, de petróleo, de gás e de outras atividades industriais têm estado na mira deste grupo pelo menos desde 2017.
A Dragos alerta que os hackers refinaram as suas técnicas e soluções, com emails de spear-phishing e cargas de malware, abuso de sistemas de login da Microsoft no Office 365 ou na Active Directory e de redes privadas virtuais. A estratégia do grupo passa por aproveitar os primeiros acessos que consegue em determinadas redes ou serviços para roubar mais credenciais e penetrar ainda mais nos sistemas.
Sergio Caltagirone, vice-presidente da Dragos e ex-analista da NSA, explica que o grupo tem conseguido entrar nas redes destas empresas e causado a intermitência no fornecimento. “Se detetarmos o Kamacite numa rede industrial ou a atacar entidades industriais, não podemos acreditar que estão apenas a recolher informações. Temos de assumir que algo mais se seguirá”, cita o ArsTechnica. Além da Ucrânia e dos EUA, o Kamacite está por trás de campanhas de hacking na Alemanha e outras intrusões na Europa.
A ligação entre o Kamacite e o Sandworm não é clara para já, havendo quem acredite que o Kamacite possa ser parte integrante do Sandworm, especializado em entrar nas redes das vítimas. Neste cenário, surge um terceiro grupo, o Electrum, responsável por criar as cargas de malware que são ‘implantadas’ nos sistemas dos alvos. “Um grupo entra, o outro sabe o que fazer depois. Quando operam em separado, também devemos estar de olho”, descreve Caltagirone.
Outras empresas de segurança, como a FireEye ou a Crowdstrike não confirmaram a existência de intrusões nas redes elétricas dos EUA, embora a FireEye tenha detetado uma campanha global da responsabilidade do Fancy Bear, outro grupo também com ligações à inteligência russa.
Além destes grupos, o relatório da Dragos nomeia os Vanadinite, com ligações aos chineses Winnti, e o Talonite de usarem emails de spear-phishing para ataques de ransomware contra empresas de Taiwan e sistemas de manufatura ou transporte na Europa, América do Norte e Austrália.
“Muitos grupos estão a aparecer e não se vão embora. Dentro de três ou quatro anos, sinto que vamos chegar a um pico e será uma catástrofe absoluta”, vaticina Caltagirone.
