Mesmo após anos de conflitos e alertas internacionais, as redes ucranianas continuam sendo alvos de campanhas sofisticadas ligadas a grupos de espionagem russos.
Um relatório recente revelou duas invasões: uma com duração de dois meses contra uma empresa de serviços corporativos e outra, de uma semana, contra uma organização governamental.
Em ambos os casos, o objetivo parecia claro permanecer dentro das redes, silenciosamente, colhendo informações sensíveis e evitando qualquer alarde.
O vetor de entrada foi a instalação de webshells personalizados em servidores expostos à internet. Um desses webshells, conhecido como Localolive, já foi associado ao grupo Sandworm, que opera sob comando da inteligência militar russa. A atuação desse grupo é conhecida por misturar ciberespionagem com ataques destrutivos, como os que já afetaram a infraestrutura elétrica da Ucrânia em anos anteriores.
Ferramentas legítimas como armas silenciosas
O diferencial desses ataques não está apenas no acesso inicial, mas no que acontece depois. Em vez de despejar malware ou ransomwares visíveis, os invasores operaram com o mínimo de código malicioso.
Preferiram explorar o próprio sistema contra si, usando comandos nativos do Windows, scripts PowerShell e tarefas agendadas que passavam despercebidas pelas ferramentas tradicionais de segurança.
Em diversos momentos, os atacantes ajustaram configurações do Windows Defender para ignorar pastas específicas, como Downloads, e executaram comandos para coleta de memória, provavelmente em busca de credenciais armazenadas.
Também foi comum o uso de ferramentas como o rdrleakdiag um utilitário legítimo para capturar informações da RAM, o que ajuda a manter o ataque silencioso e eficaz.
Um ataque contínuo e em evolução
A atividade se estendeu por semanas e se espalhou por múltiplos computadores da mesma rede. Em alguns casos, os invasores alteraram o registro do Windows para liberar conexões RDP sem autenticação e instalaram silenciosamente o OpenSSH, garantindo acesso remoto permanente.
Eles também criaram tarefas agendadas para manter scripts maliciosos rodando a cada 30 minutos, permitindo retorno ao ambiente mesmo após reinicializações.
Um padrão curioso foi observado: os nomes de arquivos usados, como “service.exe” e “cloud.exe”, se repetiam em diferentes etapas do ataque e pareciam estar conectados ao mesmo grupo de webshells.
Em uma das máquinas, os atacantes ainda usaram um script Python suspeito e até um aplicativo legítimo de gerenciamento de roteadores da Mikrotik, o que levanta suspeitas sobre técnicas de camuflagem.
Mesmo após diversas ações, os vestígios finais de movimentação só desapareceram por volta de 20 de agosto. Isso mostra que, apesar de tudo, os atacantes não precisaram de ferramentas sofisticadas só de tempo, persistência e um conhecimento profundo de como passar despercebido.
Uma ameaça contínua e altamente técnica
Esse tipo de operação deixa claro que não estamos falando de ataques amadores. O uso intencional de ferramentas legítimas, a manipulação de tarefas agendadas e o mínimo uso de malware indicam que o objetivo era obter acesso e permanecer por tempo indefinido, sem levantar alertas.
Os operadores sabiam exatamente como evitar mecanismos de detecção tradicionais e onde buscar informações críticas sem chamar atenção.
Grupos como o Sandworm não apenas atuam com apoio estatal, como demonstram domínio técnico elevado, o que torna sua detecção e contenção um desafio real mesmo para estruturas bem protegidas.
