Nos últimos dez anos, a unidade de ciber-guerra mais agressiva do Kremlin, conhecida como Sandworm, concentrou suas campanhas de hacking em atormentar a Ucrânia, ainda mais desde a invasão em larga escala do presidente russo Vladimir Putin ao vizinho. Agora, a Microsoft está alertando que uma equipe dentro desse notório grupo de hackers mudou seu foco, trabalhando indiscriminadamente para invadir redes em todo o mundo – e, no último ano, parece ter mostrado um interesse particular em redes em países ocidentais de língua inglesa.
Na quarta-feira, a equipe de inteligência de ameaças da Microsoft publicou novas pesquisas sobre um grupo dentro da Sandworm que os analistas da empresa estão chamando de BadPilot. A Microsoft descreve a equipe como uma “operação de acesso inicial” focada em invadir e ganhar um ponto de apoio nas redes das vítimas antes de passar esse acesso para outros hackers dentro da organização maior da Sandworm, que os pesquisadores de segurança identificaram há anos como uma unidade da agência de inteligência militar GRU da Rússia. Após as invasões iniciais do BadPilot, outros hackers da Sandworm usaram suas intrusões para se mover dentro das redes das vítimas e realizar efeitos como roubo de informações ou lançamento de ciberataques, diz a Microsoft.
A Microsoft descreve o BadPilot como iniciando um alto volume de tentativas de intrusão, lançando uma rede ampla e, em seguida, classificando os resultados para se concentrar em vítimas específicas. Nos últimos três anos, a empresa diz que a geografia do alvo do grupo evoluiu: em 2022, ele se concentrou quase exclusivamente na Ucrânia, depois ampliou seu hacking em 2023 para redes em todo o mundo e, em seguida, mudou novamente em 2024 para se concentrar em vítimas nos EUA, Reino Unido, Canadá e Austrália.
“Vemos que eles estão espalhando suas tentativas de acesso inicial, vendo o que retorna e, em seguida, focando nos alvos que eles gostam”, diz Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft. “Eles estão escolhendo o que faz sentido focar. E eles estão se concentrando nesses países ocidentais.”
A Microsoft não nomeou vítimas específicas das intrusões do BadPilot, mas afirmou amplamente que os alvos do grupo de hackers incluíram “energia, petróleo e gás, telecomunicações, transporte, fabricação de armas” e “governos internacionais”. Em pelo menos três ocasiões, a Microsoft diz que suas operações levaram a ciberataques destrutivos de dados realizados pela Sandworm contra alvos ucranianos.
Quanto ao foco mais recente em redes ocidentais, DeGrippo sugere que os interesses do grupo provavelmente estão mais relacionados à política. “As eleições globais provavelmente são uma razão para isso”, diz DeGrippo. “Essa mudança no cenário político, eu acho, é um motivador para mudar táticas e mudar alvos.”
Ao longo dos mais de três anos em que a Microsoft acompanhou o BadPilot, o grupo procurou ganhar acesso às redes das vítimas usando vulnerabilidades conhecidas, mas não corrigidas, em software exposto à internet, explorando falhas vulneráveis no Microsoft Exchange e Outlook, bem como em aplicativos da OpenFire, JetBrains e Zimbra. Em seu direcionamento a redes ocidentais no último ano em particular, a Microsoft alerta que o BadPilot explorou especificamente uma vulnerabilidade na ferramenta de acesso remoto Connectwise ScreenConnect e no Fortinet FortiClient EMS, outro aplicativo para gerenciar centralmente o software de segurança da Fortinet em PCs.
Após explorar essas vulnerabilidades, a Microsoft descobriu que o BadPilot normalmente instala software que lhe dá acesso persistente a uma máquina vítima, muitas vezes com ferramentas de acesso remoto legítimas, como Atera Agent ou Splashtop Remote Services. Em alguns casos, em uma reviravolta mais única, ele também configura o computador da vítima para funcionar como um serviço onion na rede de anonimato Tor, basicamente transformando-o em um servidor que se comunica através da coleção de máquinas proxy do Tor para ocultar suas comunicações.
Outro relatório separado na terça-feira da empresa de cibersegurança EclecticIQ apontou para uma campanha de hacking totalmente distinta que a empresa também liga à Sandworm. Desde o final de 2023, a EclecticIQ descobriu que o grupo de hackers usou uma ferramenta de pirataria do Windows infectada por malware, distribuída via Bittorrent, para invadir redes do governo ucraniano. Nesses casos, a EclecticIQ descobriu que os hackers instalaram uma ferramenta de acesso remoto chamada Dark Crystal RAT para realizar ciberespionagem.
Qualquer sinal da Sandworm, que a Microsoft se refere pelo nome de Seashell Blizzard, levanta alarmes em parte porque o grupo tem um histórico de operações de hacking que vão muito além da mera espionagem. Ao longo da última década, o grupo causou pelo menos três apagões ao atacar utilitários elétricos na Ucrânia – ainda os únicos apagões induzidos por hackers na história. O grupo também liberou o malware NotPetya que se espalhou mundialmente e causou pelo menos $10 bilhões em danos, e usou malware de destruição para destruir inúmeras redes em ataques mais direcionados na Ucrânia tanto antes quanto depois da invasão de 2022.
Até agora, a Microsoft não encontrou evidências de que, no direcionamento do BadPilot a redes ocidentais especificamente, a Sandworm tenha demonstrado qualquer intenção de realizar algo além de espionagem. “Isso parece muito inicial em termos de coleta de recursos, tentando obter esse acesso persistente”, diz DeGrippo. “Então, teríamos que esperar para ver o que eles farão com isso.”
Mas ela observa que o BadPilot está, no entanto, vinculado a um grupo maior que tem um histórico de ciberataques altamente disruptivos. “Portanto”, diz DeGrippo, “as ações potenciais que eles poderiam tomar a seguir são de profunda preocupação.