Hackers estatais russos, talvez mais do que os de qualquer outra nação, tendem a se exibir. A notória unidade Sandworm dentro da agência de inteligência militar GRU da Rússia, por exemplo, provocou apagões sem precedentes e liberou códigos destrutivos e autorreplicantes. O grupo Turla da FSB é engenhoso e sequestrou conexões de internet via satélite para roubar dados das vítimas no espaço. Mas uma equipe de ciberespiões menos chamativa que trabalha em nome do Kremlin raramente recebe a mesma atenção: Armageddon, ou Gamaredon.
Os hackers, acreditados como trabalhando a serviço da agência de inteligência FSB da Rússia, não são conhecidos por sua sofisticação. No entanto, eles têm um histórico de mais de uma década de violações focadas em espionagem, trabalhando com métodos de intrusão simples e repetitivos, ano após ano. Graças à quantidade esmagadora de tentativas de hacking, eles representam, por algumas medidas, a maior ameaça de espionagem enfrentando a Ucrânia em meio à sua guerra com a Rússia, de acordo com defensores de cibersegurança que monitoram o grupo.
“Eles são o grupo de hackers alinhados ao estado mais ativo atacando organizações ucranianas, de longe”, diz Robert Lipovsky, pesquisador de malware da empresa de cibersegurança eslovaca ESET.
A ESET monitorou o Gamaredon enquanto ele invadia as redes de centenas de vítimas na Ucrânia, roubando milhares de arquivos diariamente, diz Lipovsky. “A operação deles é altamente eficaz”, acrescenta. “O volume é o grande diferencial deles, e isso os torna perigosos.”
Se o Gamaredon não se comporta como outros grupos de hackers russos, isso se deve em parte ao fato de que alguns deles não são nacionais russos — ou não eram, tecnicamente, até 2014.
De acordo com o governo ucraniano, os hackers do Gamaredon estão baseados na Crimeia, a península da Ucrânia que foi tomada pela Rússia após a revolução Maidan da Ucrânia. Alguns deles trabalharam anteriormente em nome dos próprios serviços de segurança da Ucrânia antes de mudar de lado quando a ocupação da Crimeia pela Rússia começou.
“Eles são oficiais da FSB ‘crimeana’ e traidores que desertaram para o inimigo”, diz uma declaração de 2021 da agência de inteligência SBU da Ucrânia, que alega que o grupo realizou mais de 5.000 ataques a sistemas ucranianos, incluindo infraestrutura crítica como “usinas de energia, sistemas de aquecimento e abastecimento de água.”
As técnicas de acesso inicial do grupo, diz Lipovsky da ESET, consistem quase inteiramente em ataques de spearphishing simples — enviando mensagens falsificadas às vítimas com anexos infectados por malware —, além de códigos maliciosos que podem infectar unidades USB e se espalhar de máquina para máquina. Essas táticas relativamente básicas mal evoluíram desde que o grupo apareceu pela primeira vez como uma ameaça voltada para a Ucrânia no final de 2013. No entanto, ao trabalhar incansavelmente com essas formas simples de hacking e direcionar praticamente todas as organizações governamentais e militares ucranianas — assim como aliados ucranianos na Europa Oriental — diariamente, o Gamaredon provou ser um adversário sério e frequentemente subestimado.
“As pessoas às vezes não percebem quão grande parte a ‘persistência’ desempenha na frase APT”, diz John Hultquist, analista-chefe do Google Threat Intelligence Group. “Eles são apenas implacáveis. E isso, por si só, pode ser uma espécie de superpoder.”
Em outubro de 2024, o governo ucraniano chegou a condenar dois hackers do Gamaredon à revelia não apenas por crimes de hacking, mas também por traição. Uma declaração da SBU na época acusou os dois homens — nenhum dos quais foi nomeado — de terem “traído seu juramento” ao se juntarem voluntariamente à FSB.
Para os ex-hackers da SBU do Gamaredon, virar as costas para seus compatriotas pode não ter resultado nos benefícios que esperavam. Além da aparente rotina de suas campanhas de phishing incessantes, comunicações telefônicas interceptadas entre membros do grupo publicadas pela SBU parecem mostrar que eles reclamam sobre seus baixos salários e falta de reconhecimento. “Eles deveriam ter te dado uma medalha”, diz um membro da equipe a outro na conversa em russo. “Fui enganado mais uma vez.”
Dada a natureza entediante de suas campanhas de hacking, não é surpresa que eles tenham reclamado sobre suas condições de trabalho, diz Hultquist do Google.
“A rotina é tão central para suas operações”, diz ele. “Esse grupo conquista vitórias.”
Por mais descontentes que os hackers do Gamaredon possam estar, defender-se contra seu bombardeio constante de tentativas de espionagem é pelo menos tão difícil e entediante, dizem alguns dos defensores encarregados de monitorá-los. O grupo escreve seu malware em linguagens de script relativamente não sofisticadas, como VBScript e Powershell, em vez do C++ usado por hackers mais habilidosos. Mas o Gamaredon ajusta seu código monótono constantemente, às vezes com alterações automatizadas para criar versões infinitamente diferenciadas projetadas para desafiar antivírus, de acordo com a ESET, cujos produtos anti-malware são amplamente utilizados na Ucrânia.
Em alguns casos, os hackers infectam a mesma máquina com várias amostras de malware e atingem tantos alvos que a ESET nem conseguiu identificar todas as vítimas do grupo, apesar de monitorar de perto as campanhas do Gamaredon.
“É um trabalho exaustivo”, diz Anton Cherepanov, pesquisador de malware da ESET. “As pessoas se sobrecarregam e ficam esgotadas.”
Desde o início da guerra em grande escala da Rússia na Ucrânia em 2022, o Gamaredon evoluiu para ampliar sua coleta de inteligência para ferramentas de mensagens como Signal, WhatsApp e Telegram, bem como o software Delta usado pelo exército ucraniano em tablets. Um relatório de 2023 da CERT-UA, o Centro de Resposta a Emergências de Computadores da Ucrânia, alertou que o Gamaredon lançou, em pelo menos uma ocasião, um ataque destrutivo de dados contra uma instalação vítima, embora normalmente se restrinja apenas à coleta de inteligência em nome do esforço militar russo.
O mesmo relatório observa que, uma vez que o Gamaredon infecta uma máquina, ele frequentemente começa a roubar arquivos em apenas 30 minutos. Ao final de uma semana, se a máquina permanecer infectada, os hackers terão instalado de 80 a 120 variantes de seu malware no computador. Se os defensores falharem em deletar até mesmo uma, os hackers mantêm seu ponto de apoio e podem manter o acesso a esse dispositivo.
Tudo isso significa que o Gamaredon representa um desafio que é dolorosamente entediante para os defensores de cibersegurança, mas com apostas assustadoramente altas no contexto de uma guerra onde segredos roubados podem significar a diferença entre a vida e a morte.
“Eles não são interessantes”, diz o pesquisador de malware da ESET, Zoltán Rusnák. “Apenas perigosos.”