O uso de ciberataques no conflito

Desde o começo do conflito, a 24 de fevereiro de 2022, que Moscovo tem tentado interferir com os sistemas e redes informáticas ucranianas como complemento às suas operações cinéticas no terreno. Por exemplo, o início da invasão russa da Ucrânia foi precedido, poucas horas antes, de um ataque à Viasat, um importante fornecedor de telecomunicações, que envolveu simultaneamente um ataque distribuído de negação de serviço (DDoS) e intrusão nas redes terrestres, interrompendo os serviços de internet de milhares de utilizadores na Ucrânia e na Europa. Coordenado com a incursão das tropas russas em território ucraniano, o ataque foi provavelmente pensado para dificultar a resposta de Kiev, embora existam relatos contraditórios sobre o impacto do ataque. Victor Zhora, um dos principais responsáveis pelas operações ucranianas no ciberespaço durante o primeiro ano do conflito, afirmou na altura do ataque que este tinha causado «uma enorme quebra a nível das comunicações». No entanto, esta avaliação seria contradita pelo mesmo pouco tempo depois, dizendo não haver provas de que o ataque tivesse piorado a conectividade militar, e salientando que os satélites da Viasat desempenhavam um papel secundário (de backup) no acesso das tropas ucranianas às suas redes de informação¹². O lançamento deste ataque no início da campanha parecia apoiar a ideia de que a Rússia utilizaria ciberataques como um pilar essencial na invasão da Ucrânia. Contudo, a realidade acabaria por se revelar um pouco diferente das expectativas.

As táticas disruptivas continuaram nas fases iniciais da guerra, com um aumento de ataques de baixa intensidade, como wipers¹³, direcionados a empresas, bancos e indústrias governamentais; desfiguração de websites governamentais; ataques de phishing contra altos oficiais militares e governamentais; e ataques de DDoS para interromper o funcionamento de serviços vitais¹⁴. No entanto, as ações russas refletiram uma prioridade na quantidade em detrimento da qualidade, numa abordagem muitas vezes descrita como de «força bruta»¹⁵, privilegiando o engajamento persistente a um nível de sofisticação baixo. Apesar do aumento no volume de ataques, os analistas observaram uma eficiência reduzida destes em comparação com anteriores ações da Rússia contra a Ucrânia¹⁶, o que pode, em parte, ser explicado pela melhoria significativa da qualidade das capacidades de defesa ucranianas¹⁷, mas também por uma desadequada preparação russa. Moscovo tinha-se preparado para uma campanha de curta duração alicerçada numa invasão terrestre rápida e esmagadora e em campanhas de desinformação e desestabilização. A gorada expectativa de uma vitória e ocupação rápidas obrigou Moscovo a alterar os seus planos, focando-se na utilização de wipers e de ataques DDoS¹⁸.

Não quer isso dizer que a Rússia não tenha tentado ciberataques mais significativos. Em abril de 2022, um ataque à infraestrutura energética da Ucrânia foi identificado pela CSIRT¹⁹ ucraniana e rapidamente neutralizado, sem impacto nas redes elétricas visadas²⁰. O malware usado era uma versão mais sofisticada do ataque de 2016 e, se bem-sucedido, teria degradado o sistema a um ponto difícil de restaurar. Uma campanha semelhante foi levada a cabo em outubro do mesmo ano, causando um apagão que coincidiu com uma série de ataques de mísseis na zona de Kiev²¹. Em dezembro de 2023, um ataque bem-sucedido à Kyivstar - a maior operadora de redes móveis da Ucrânia - danificou significativamente a rede virtual da empresa, interrompendo temporariamente os serviços de comunicação em todo o país²². Este ataque tinha sido precedido, em maio, de uma intrusão que permitiu o acesso de hackers russos a mensagens SMS, dados de localização e possivelmente contas de Telegram dos utilizadores. A interrupção também afetou o funcionamento de sirenes de alerta aéreo nalgumas áreas, bem como os sistemas bancários e caixas automáticas que dependiam da rede Kyivstar, mas supostamente teve pouco impacto na funcionalidade militar da Ucrânia.

Os exemplos acima demonstram que as operações cibernéticas desempenharam, até agora, um papel limitado no conflito. Parte desta ausência deve-se às defesas ucranianas. A threat intelligence obtida em ataques anteriores permitiu uma maior resiliência dos sistemas ucranianos, e o apoio de organizações terceiras e de Estados aliados provou ser valioso para as defesas locais²³.

Do ciberconflito à guerra de informação

Embora a ciberdimensão do conflito tenha ficado aquém de algumas expectativas, o mesmo não se pode dizer das operações de espionagem e informação russas. É possível argumentar que a utilização estratégica mais bem-sucedida das cibercapacidades por parte da Rússia tem-se revelado no domínio da informação. Uma parte significativa das suas operações neste domínio envolveu espionagem e roubo de dados, como a recolha de inteligência para o planeamento estratégico e a identificação de alvos prioritários. A Microsoft identificou pelo menos dois casos em que uma intrusão de rede foi seguida por um ataque de mísseis a um alvo relacionado: um ataque a infraestruturas ferroviárias em Lviv e um ataque a um aeroporto em Vinnytsia, dois dias após ter sido identificada uma intrusão numa rede governamental²⁴. Os Serviços de Segurança da Ucrânia (SBU) afirmaram em 2023 que a Diretoria Principal de Inteligência russa (GRU) estava a visar satélites Starlink para recolher dados sobre a atividade militar ucraniana²⁵. Militares e figuras políticas ucranianas foram, igualmente, alvo de campanhas de phishing e de ataques aos seus dispositivos pessoais²⁶. Em janeiro de 2024, agentes russos invadiram webcams civis em Kiev para recolher dados de imagem sobre as defesas da cidade antes de lançar um ataque com mísseis²⁷. Para além de usar estas informações para planeamento militar, a recolha de dados também pode ser utilizada para controlar uma população através do medo, usando dados pessoais para identificar e alvejar indivíduos que possam representar uma ameaça à força ocupante²⁸. Assim, o foco na recolha de dados e na obtenção de inteligência alinha-se com a expectativa russa de uma vitória rápida e de uma ocupação prolongada da Ucrânia, ao invés do estado de guerra prolongado que se veio a verificar.

Um segundo foco das operações de informação russas tem sido a disseminação de desinformação. As campanhas de desinformação têm origem na doutrina soviética de controlo reflexivo, que consiste na disponibilização de informações para consumo do inimigo com o objetivo de controlar subliminarmente crenças e comportamentos, e tem-se revelado um elemento central nas táticas russas de guerra de informação²⁹. A Rússia criou um «ambiente de informação caótico»³⁰, conduzindo campanhas que variam desde ações para manter o apoio interno ao esforço de guerra na Rússia, até à fragilização da unidade nas nações ocidentais e à distorção das críticas aos crimes de guerra russos, e ao ataque à moral e confiança da população ucraniana na sua capacidade de se organizar e resistir aos ataques russos³¹. Circularam deepfakes do Presidente Zelensky, incluindo um, no início do conflito, em que ele apelava aos soldados ucranianos para se renderem às forças russas³². Estações de rádio ucranianas foram alvo de transmissões falsas a informar que Zelensky estava em estado crítico³³. Políticos e celebridades ocidentais que publicamente apoiaram a Ucrânia foram alvo de ataques de engenharia social para obter declarações que pudessem ser manipuladas de forma a manifestar posições pró-Rússia³⁴. Todas estas táticas refletem uma campanha de subversão destinada a minar a confiança na força e na liderança ucranianas e promover uma agenda pró-Rússia.

Moscovo demonstrou particular sucesso no controlo do fluxo de informação nos territórios ocupados militarmente. Os ocupantes russos na região de Kherson redirecionaram o tráfego local de internet e das redes móveis através de infraestruturas russas, bloqueando o acesso a fontes noticiosas ucranianas e independentes, ao Facebook, Instagram e X (anteriormente Twitter), e implementando normas, vigilância e censura rígidas na internet³⁵. Essas medidas cortaram eficazmente a ligação de Kherson a informações externas, limitando a população ao acesso a notícias e meios de comunicação russos. Os civis foram alvo de informações falsas sobre as ações do Governo ucraniano e bombardeados com propaganda russa³⁶.

No geral, o ciberespaço tem sido predominantemente usado por Moscovo em operações de informação e espionagem, bem como em ataques constantes de baixa intensidade. As cibercapacidades surgem neste conflito como «a cereja no topo do bolo» para as operações russas, em vez de constituírem um ramo principal das suas táticas militares³⁷.

Kiev contra-ataca

À medida que a Ucrânia enfrentava um aumento no volume de ciberataques, a sua principal preocupação consistia na manutenção da funcionalidade dos sistemas militares e governamentais visados pela Rússia. No entanto, paralelamente a este foco na defesa, surgiu um movimento crescente disposto a retaliar contra os esforços russos, particularmente entre hacktivistas. Grupos como o IT Army e o Cyber Regiment desempenharam um papel importante nas capacidades ofensivas da Ucrânia. Embora não sejam oficialmente patrocinados por Kiev, foram feitos esforços para legitimar e coordenar as suas atividades³⁸. O grupo hacktivista descentralizado Anonymous também tem estado ativo, tendo atacado órgãos de comunicação social e canais de televisão estatais russos³⁹. Embora seja difícil quantificar a eficácia desses grupos no contexto do conflito mais amplo, esses atores desempenharam pelo menos um papel indireto na interrupção das operações russas⁴⁰.

Ao longo do conflito, as agências de inteligência e cibersegurança da Ucrânia também aumentaram a sua atividade. Em particular, 2024 assistiu a um aumento marcante na atividade contra a Rússia pela Diretoria Principal de Inteligência da Ucrânia (HUR), a qual, em fevereiro, conseguiu acesso a servidores russos contendo documentos classificados e informações detalhadas sobre oficiais de alto escalão e unidades estruturais do Ministério da Defesa da Rússia⁴¹. Outros ataques visaram websites governamentais russos, aeroportos e infraestruturas de telecomunicações, resultando em significativas interrupções de internet em toda a Rússia⁴².

Tal como os ataques russos, os ataques ucranianos não dominaram os holofotes num conflito marcado pela violência cinética, mas demonstraram ainda assim uma presença persistente no tabuleiro de xadrez contínuo em que se tornou o conflito entre os dois países.

Lições aprendidas

O conflito Rússia-Ucrânia oferece, pois, várias lições importantes sobre o uso do ciberespaço num conflito armado. Em primeiro lugar, no contexto de guerra, a destruição física e as operações militares cinéticas são mais fáceis e simples de planear e executar do que ciberataques de larga escala, além de gerarem um impacto mais direto e eficaz. Apesar dos avanços tecnológicos na guerra, o conflito permanece essencialmente cinético. Existe uma disparidade assimétrica entre as capacidades cibermilitares e cinéticas, sendo o potencial destrutivo de um míssil ou de um ataque de drones significativamente maior do que o resultado direto de um ciberataque⁴³. Por exemplo, enquanto a maioria dos ciberataques russos contra infraestruturas falhou ou foi eliminado, as redes elétricas têm sido um alvo principal de ataques com mísseis e drones, reduzindo significativamente a funcionalidade e operatividade das infraestruturas elétricas e hídricas ucranianas⁴⁴. Em suma: «é muito mais simples para a Rússia lançar um bombardeamento de artilharia contra uma subestação elétrica do que hackeá-la de Moscovo»⁴⁵.

Em segundo lugar, os ciberataques de larga escala exigem tempo e planeamento. O uso eficaz de malware a um nível estratégico requer um longo tempo de preparação e desenvolvimento, sendo frequentemente de uso único, já que os alvos rapidamente desenvolvem defesas contra as vulnerabilidades na origem desses ataques. Antecipando uma vitória rápida, a Rússia utilizou cibercapacidades sofisticadas no início do conflito. No entanto, quando a Ucrânia se mostrou defensivamente mais bem preparada do que o esperado, a Rússia foi forçada a recorrer a ataques de baixa intensidade, como DDoS e wiper malware, que são mais fáceis de implementar e exigem menos planeamento prévio⁴⁶. Nestas condições, o uso de operações de informação, espionagem e subversão revelou-se mais eficaz do que a utilização de ciberataques de natureza destrutiva para conseguir uma vantagem militar.

Em terceiro lugar, a articulação entre operações cinéticas e ciberoperações permanece difícil, mesmo para atores poderosos como a Rússia. Existem poucos exemplos claros de uso de ciberataques diretamente associados a ações militares cinéticas⁴⁷, e menos ainda em que haja evidência de articulação planeada e não apenas coincidência. As dificuldades logísticas e a necessidade de coordenação entre departamentos e agências governamentais dificultam essas mesmas atividades. Além disso, o espaço temporal necessário para o planeamento e a execução de operações cibernéticas nem sempre se coaduna com os rápidos desenvolvimentos militares no campo de batalha. Em qualquer destes contextos, a coordenação parece fazer mais sentido em missões de recolha de inteligência que visam fornecer informações sobre os alvos aos militares⁴⁸, beneficiando das cibercapacidades sem estar limitada às mesmas.

Em quarto lugar, o uso de táticas de informação pela Rússia dentro da Ucrânia foi menos eficaz do que o pretendido. Embora se possa argumentar que o controlo russo sobre as notícias e sobre a comunicação social dentro das suas próprias fronteiras e em territórios ocupados pode ser eficaz para manter uma imagem forte e uma opinião pró-Rússia⁴⁹, as operações de informação russas não conseguiram derrubar a resistência da população ucraniana⁵⁰. Os agentes russos estavam preparados para uma vitória rápida seguida de uma ocupação, e as suas táticas não se adequavam a uma guerra prolongada. Um exemplo disso, logo em 2022, foi a já mencionada circulação de um deepfake do Presidente Zelensky a pedir a rendição das forças ucranianas. No entanto, levantaram-se vários problemas: a tecnologia usada para criar o deepfake estava desatualizada, o que resultou num vídeo de baixa qualidade; o lançamento foi mal agendado, várias semanas após o início do conflito, quando Zelensky já havia feito discursos inspiradores ao público e seria improvável que fizesse tal declaração; e a divulgação não foi feita por canais oficiais, colocando a sua legitimidade em causa⁵¹. Além do mais, o Governo ucraniano já havia instituído proibições à circulação de meios de comunicação e jornalistas russos, limitando ainda mais o alcance e o impacto da propaganda russa entre os civis.

Em quinto lugar, a defesa, a preparação e a resiliência são vitais no ciberespaço. O fracasso da Rússia em levar a cabo ciberataques estrategicamente significativos deve-se, em parte, às suas próprias limitações operacionais, mas também à defesa e oposição ucranianas. O uso da Ucrânia como campo de teste para as cibercapacidades da Rússia forneceu ao país uma década de aprendizagem, permitindo-lhe identificar vulnerabilidades e reforçar as suas defesas. Isso também foi resultado do árduo trabalho de bastidores dos aliados ocidentais para aumentar as cibercapacidades e as ciberdefesas da Ucrânia. Os EUA têm trabalhado de perto com o Governo ucraniano para fortalecer a resiliência e segurança do ciberespaço ucraniano, com organizações como a USAID⁵², o FBI (Federal Bureau of Investigation) e a CISA (Cybersecurity and Infrastructure Security Agency) a desempenharem papéis importantes na proteção das redes de informação no país. Estas duas últimas organizações, em particular, ajudaram também a desmontar campanhas de desinformação direcionadas ao Governo e às forças armadas ucranianas⁵³. Também a União Europeia (UE) enviou especialistas para ajudar a Ucrânia a defender-se contra ciberataques⁵⁴. Alguma desta ajuda aconteceu após a invasão russa, mas houve igualmente vários programas em curso ao longo da última década, o que serviu para garantir que a Ucrânia estivesse bem preparada para defender o seu ciberespaço. Esses esforços ajudaram, por sua vez, a reforçar as defesas ucranianas e a limitar o impacto dos ataques realizados pela Rússia⁵⁵.

Por último, os atores não estatais têm desempenhado um papel sem precedentes no conflito, tanto em termos defensivos como ofensivos. Além da ajuda de países aliados, empresas multinacionais de tecnologia ofereceram assistência valiosa à Ucrânia durante o conflito. A Microsoft e a Mandiant (da Google) estabeleceram uma parceria com o Governo ucraniano para fornecer informações relativamente a potenciais e efetivos ataques ao ciberespaço ucraniano⁵⁶, analisando também táticas russas para prever áreas críticas de defesa à medida que o conflito avançava⁵⁷. Uma área de particular vulnerabilidade identificada foi a dependência do Governo ucraniano relativamente a servidores de dados. A Amazon Web Services ajudou a hospedar e a proteger dados do Governo e do sector privado ucranianos na sua nuvem⁵⁸, transferidos com a ajuda da Microsoft⁵⁹. Satélites Starlink da SpaceX forneceram internet e comunicações para substituir as redes degradadas e destruídas no início da guerra, e têm sido utilizados para fins militares e humanitários⁶⁰. A Google expandiu o seu Project Shield para proteger os websites dos órgãos de comunicação social e da sociedade civil ucraniana contra ataques DDoS⁶¹. Muitas das organizações do sector privado que ofereceram ajuda fizeram-no por conta própria ou financiadas por aliados ocidentais da Ucrânia⁶².

No que diz respeito às capacidades ofensivas da Ucrânia, os hacktivistas revelaram-se importantes no conflito⁶³. Os seus ataques contra instituições e empresas russas têm afetado o normal funcionamento da economia e da sociedade russas⁶⁴. Apenas dois dias após a invasão, o vice-primeiro-ministro ucraniano, Mykhailo Fedorov, apelou publicamente a que hackers se voluntariassem para ajudar a Ucrânia, direcionando ataques a sistemas russos⁶⁵, o que levou à criação do famoso IT Army. Mais tarde, surgiram outros grupos semelhantes, como o Cyber Regiment, a Ukrainian Cyber Alliance e o IT Stand for Ukraine⁶⁶. Além disso, grupos como o Anonymous também se envolveram no conflito, declarando abertamente uma ciberguerra contra a Rússia⁶⁷.

Hackers e hacktivistas civis também desempenharam um papel do outro lado do conflito. Grupos como Solntsepek, InfoCentr, Killnet e o Cyber Army of Russia Reborn surgiram para combater as atividades cibernéticas ucranianas⁶⁸. Para ambos os países, a relação entre os grupos hacktivistas e o Estado é pouco clara, particularmente no que diz respeito à distinção entre ataques sancionados pelo Estado e ataques ad hoc organizados por estes grupos. Como já foi dito, o IT Army da Ucrânia e muitos outros grupos mais pequenos de hackers voluntários formaram-se na sequência direta de apelos das autoridades ucranianas, e parece que os alvos têm sido fornecidos através de canais governamentais⁶⁹. O líder do grupo IT Stand for Ukraine confirmou que a sua equipa trabalhava diretamente com as autoridades ucranianas, mas era independente do Estado⁷⁰. Especulou-se que comandantes russos terão dado assistência e articulado os grupos hacktivistas de forma a concertar os seus esforços, mas o líder do Killnet declarou, numa entrevista à BBC, que o grupo era «completamente independente dos serviços especiais russos»⁷¹. De qualquer forma, a sua participação no conflito ampliou e complexificou a lista de atores beligerantes envolvidos no mesmo.

Lições para as Relações Internacionais

Até agora, defendemos que a cibercomponente do conflito tem sido relevante, mas não determinante no esforço de guerra na Ucrânia. Contrariamente às expectativas, a iniciativa de integrar operações militares cibernéticas e cinéticas não tem sido extraordinariamente destrutiva; o ciberespaço não funcionou como um multiplicador de força decisivo. A aparente relutância ou incapacidade da Rússia em levar a cabo operações em grande escala contra a bem defendida Ucrânia pôs em evidência o elevado grau de complexidade que aquelas geralmente envolvem, bem como a dificuldade de as conjugar com as operações cinéticas. No entanto, a verdade é que se retirássemos os elementos cinéticos do campo de batalha, estaríamos a assistir ao mais intenso ciberconflito da história, com ambos os lados a executarem múltiplas operações neste domínio. O ciberespaço faz agora parte integrante da guerra, tal como a utilização de drones e de outros sistemas de armas tecnologicamente sofisticados. Contudo, estes não tomaram conta do campo de batalha por completo, coexistindo com instrumentos rudimentares e armas antiquadas, tais como telefones com fios e metralhadoras vintage⁷². Essencialmente, o conflito na Ucrânia revela um tipo de guerra em que o passado, o presente e o futuro da tecnologia coexistem. Por conseguinte, a utilização de cibercapacidades tem de ser entendida no âmbito de um ecossistema tecnológico mais vasto, que pode ser simultaneamente sofisticado e anacrónico.

Outro aspecto digno de realce é o facto de não ter havido uma escalada significativa para além das fronteiras do conflito. Nos primeiros meses de guerra, talvez em resposta à coligação de países que se juntaram para ajudar a Ucrânia, a Microsoft detetou intrusões russas em redes de organizações, fora da Ucrânia, de pelo menos 42 países diferentes, com especial incidência nos EUA e na Polónia, o centro logístico da ajuda militar e humanitária à Ucrânia⁷³. A atividade contra a Polónia, em particular, pode ter representado uma tentativa de interromper o fornecimento de ajuda e de armas à Ucrânia. As operações de informação têm como alvo a unidade e a cooperação ocidentais contra a Rússia. O grupo Star Blizzard, ligado ao Estado russo, visou funcionários dos serviços secretos, peritos em assuntos russos, organizações não governamentais e think tanks em toda a Europa, predominantemente através de ataques phishing personalizados e sofisticados⁷⁴. Apesar da atividade continuada dos intervenientes russos no Ocidente, não houve qualquer ciberataque de larga escala ligado ao conflito fora das suas fronteiras. Até nova indicação, poder-se-á afirmar que a dissuasão dos EUA e dos aliados contra a Rússia tem sido moderadamente eficaz.

Por último, o conflito tem posto em evidência o papel ambíguo dos atores não estatais no conflito. A Ucrânia tem recebido ajuda de empresas e países terceiros, bem como de hackers e grupos de hacktivistas voluntários. Como demonstrado acima, os atores envolvidos não se limitam ao confronto entre Estados. Várias empresas multinacionais ofereceram assistência à Ucrânia em matéria de capacidades defensivas e ofensivas, nomeadamente a Microsoft, a Google e a AWS. Este apoio foi elogiado por muitos. Sem estas ajudas, a Ucrânia poderia já ter perdido a guerra⁷⁵. No entanto, é de notar que as motivações destas empresas podem não ser inteiramente altruístas; é do interesse de empresas como a Microsoft defenderem-se contra ciberataques, uma vez que o potencial spillover de malware de rápida disseminação poderia causar danos aos seus próprios sistemas, e o assumir de uma postura moral coloca-as numa posição potencialmente favorável a nível global⁷⁶. De qualquer modo, o envolvimento ativo destas empresas no conflito introduziu a chamada big tech como um importante ator nesta guerra⁷⁷.

O outro debate em torno dos intervenientes não estatais diz respeito ao envolvimento de grupos de hackers voluntários no conflito. Existem dúvidas quanto à legalidade das suas ações, em particular, se são suficientemente organizados para constituírem um grupo armado aos olhos do Manual de Tallinn 2.0 sobre o direito internacional aplicável às ciberoperações e, por conseguinte, passíveis de serem puníveis⁷⁸. Em resposta, o Governo ucraniano tem envidado esforços para legitimar o seu papel a título oficial⁷⁹. O ataque a infraestruturas civis por grupos hacktivistas russos e ucranianos também causou controvérsia. Em outubro de 2023, o Comité Internacional da Cruz Vermelha publicou um «Código de Genebra para a Ciberguerra», que repudia ataques hacktivistas que afetem civis⁸⁰ e que foi aceite pela Killnet e pelo IT Army of Ukraine. Mais uma vez, o envolvimento ativo destes atores levanta questões sobre a importância estratégica destes, mas também sobre o seu estatuto jurídico no conflito; nomeadamente, se podem ser considerados alvos legítimos, e qual o estatuto jurídico dos países onde estes piratas informáticos estão alojados.

Tal como em muitas outras dimensões da guerra e da política externa, o conflito na Ucrânia trouxe novas e importantes noções sobre o papel do ciberespaço na guerra.