CARR e NoName057(16): grupos russos exploram VNC exposto para atacar sistemas industriais

Autoridades dos Estados Unidos emitiram um alerta nesta semana sobre ataques cibernéticos realizados por múltiplos grupos hackers ligados ao governo russo. A Agência de Segurança Cibernética e Infraestrutura (CISA), junto a outras entidades americanas e internacionais, publicou um comunicado detalhando ofensivas atribuídas aos grupos CyberArmyofRussia_Reborn (CARR), NoName057(16) e organizações relacionadas.

Segundo o alerta, desde 2022 esses grupos vêm mirando setores essenciais como água, energia e produção de alimentos. O Departamento de Justiça dos EUA revelou que um ataque atribuído ao CARR, em novembro de 2024, atingiu uma planta de processamento de carne em Los Angeles, resultando na perda de milhares de quilos de carne e em um vazamento de amônia.

Os ataques também afetaram infraestrutura eleitoral durante eleições, sites de órgãos reguladores nucleares e outros alvos sensíveis. O FBI não divulgou quantas organizações norte-americanas foram comprometidas.

Além do alerta, o Departamento de Justiça anunciou duas acusações formais contra um membro dos grupos, responsável por ataques contra instalações de água e esgoto que causaram danos aos sistemas de controle e o derramamento de centenas de milhares de galões de água potável.

A CISA afirmou que os grupos exploram conexões de Virtual Network Computing (VNC) expostas à internet, frequentemente mal protegidas, para obter acesso a dispositivos de tecnologia operacional e, assim, executar ataques capazes de causar danos físicos. Apesar de serem considerados menos sofisticados do que grupos APT avançados, os ataques já resultaram em impactos significativos.

Grande parte da atividade começou após a invasão da Ucrânia em 2022. O CARR posteriormente rebatizado como Z-Pentest emergiu com apoio direto da GRU, a inteligência militar russa. O grupo reivindicou ataques a uma estação de tratamento de esgoto europeia e a duas fazendas de laticínios nos EUA.

Já o NoName057(16), criado no mesmo período, foca principalmente em governos e empresas de países membros da OTAN. Em 2024, os dois grupos uniram forças para ampliar suas operações de intrusão em sistemas industriais, publicando vídeos e imagens dos ataques no Telegram.

O alerta afirma que os hackers apresentam “baixo nível de conhecimento técnico”, frequentemente não entendendo os processos industriais que tentam manipular, o que leva a ataques desordenados e potencialmente perigosos. Pequenas empresas, prefeituras e até comércios familiares também foram alvo muitas vezes simplesmente por terem sistemas vulneráveis expostos na internet.

As investigações reforçam os vínculos diretos entre esses grupos hackers e o governo russo. O CARR teria sido “fundado, financiado e dirigido” pela GRU, contando com mais de 100 membros, inclusive menores de idade. Já o NoName057(16) teria sido criado por integrantes do Centro de Monitoramento Juvenil da Rússia (CISM), órgão lançado por Vladimir Putin em 2018. O grupo utilizava a ferramenta proprietária DDoSia para ataques distribuídos.

Diante das ofensivas, o governo dos EUA anunciou recompensas de até US$ 2 milhões por informações sobre integrantes do CARR e US$ 10 milhões por informações relacionadas ao NoName057(16). Em paralelo, uma operação conjunta entre 19 países derrubou mais de 100 servidores usados pelos hackers.

Todas essas ações fazem parte da Operação Red Circus, iniciativa do FBI voltada a combater ameaças cibernéticas patrocinadas pelo Estado russo contra infraestruturas críticas dos EUA.

Via - RFN