Oficiais cibernéticos ucranianos confirmaram que várias agências governamentais locais foram alvo de uma campanha de ciberespionagem de longa duração atribuída a um grupo de hackers ligado ao estado russo. **Taras Dzyuba**, chefe do departamento de comunicações de informação do **Serviço Estatal de Comunicações Especiais e Proteção da Informação da Ucrânia (SSSCIP)**, disse ao Recorded Future News que as autoridades estão cientes dos ataques, que pesquisadores ocidentais afirmam ter comprometido contas de e-mail pertencentes a promotores e investigadores ucranianos. No início desta semana, a Reuters informou que hackers ligados à Rússia invadiram mais de 170 contas de e-mail pertencentes a promotores e investigadores em toda a Ucrânia nos últimos meses. De acordo com Dzyuba, a atividade descrita no relatório da Reuters parece fazer parte de uma campanha mais ampla que as autoridades ucranianas vêm rastreando desde 2023. A equipe de resposta a emergências de computadores da Ucrânia (**CERT-UA**) identificou três ondas de ataques que provavelmente fazem parte da mesma campanha. ### Vulnerabilidades do Roundcube Exploradas As intrusões exploraram vulnerabilidades na plataforma de webmail de código aberto **Roundcube** que permitem aos atacantes executar código malicioso quando uma vítima simplesmente abre um e-mail em sua caixa de entrada — sem a necessidade de clicar em links ou baixar anexos. Isso destaca a necessidade crítica de patching e gerenciamento de vulnerabilidades, mesmo em soluções de código aberto amplamente utilizadas. Dzyuba disse que algumas informações supostamente roubadas durante esses ataques de várias agências estatais ucranianas foram publicadas online no início de março, mas acrescentou que o material vazado provavelmente não continha dados confidenciais. Ele disse que a Rússia poderia usar esses incidentes cibernéticos como base para campanhas de desinformação destinadas a desacreditar instituições ucranianas. ### Atribuição ao APT28 Pesquisadores da Ctrl-Alt-Intel atribuíram a campanha ao grupo de hackers **APT28** — também conhecido como **Fancy Bear**, **BlueDelta** ou **Forest Blizzard** — que governos ocidentais e empresas de cibersegurança acreditam amplamente estar ligado à agência de inteligência militar da Rússia, o **GRU**. Dzyuba confirmou que todas as indicações apontam para este grupo. O CERT-UA já relatou vários ataques do APT28 explorando vulnerabilidades do Roundcube. De acordo com um relatório da Ctrl-Alt-Intel, a maioria das vítimas da campanha mais recente estava na Ucrânia, embora algumas contas comprometidas estivessem ligadas a países vizinhos da OTAN e aos Bálcãs, incluindo Romênia, Bulgária, Grécia e Sérvia. ### Instituições Alvo Entre as instituições ucranianas supostamente afetadas estavam a **Procuradoria Especializada Anticorrupção (SAP)** e a **Agência de Recuperação e Gestão de Ativos (ARMA)**, que supervisiona ativos apreendidos de criminosos e colaboradores russos. A chefe interina da ARMA, **Yaroslava Maksymenko**, confirmou na quinta-feira que os funcionários da agência foram alvo de um ciberataque russo, mas disse que os hackers não conseguiram acessar seus sistemas internos. “A revisão estabeleceu que nenhum acesso a sistemas de informação internos foi obtido, e nenhum vazamento de dados de bancos de dados ou recursos de informação estatais ocorreu”, disse Maksymenko em um comunicado à agência de notícias Interfax-Ukraine. A SAP disse no início desta semana que iniciou uma revisão após relatos de que hackers russos haviam invadido dezenas de contas de e-mail pertencentes a oficiais da aplicação da lei ucraniana, incluindo os da agência. Até agora, os investigadores não encontraram evidências de que dados foram roubados dos sistemas da SAP, embora a revisão esteja em andamento.